julho 19, 2024

[Segurança] Sexta-feira da maldade: bem-vindos ao apagão global (com memes)

Alera de spolier: Para obter informações precisas sobre o ocorrido rapidamente, eu recomendo essas duas referências:

--

Nesta sexta-feira, 19/08, acordamos com as notícias de que diversos sistemas em todo o mundo foram impactados por um grande problema em ssistemas Windows, causados por uma atualização em uma ferramenta de segurança:

De repente, computadores em todo o mundo começaram a travar, aparecendo a famosa "tela azul" (ou, em inglês, "Blue Screen of Death", ou BSOD).

 


O problema foi generalizado ao redor do mundo. Ganhou destaque na imprensa o fato de que as principais companhias aéreas dos EUA interromperam seus voos devido aos problemas de comunicação. Além disso, bancos, bolsas de valores, transportadoras, empresas de mídia e de telecomunicações ao redor do mundo também tiveram falhas em seus sistema que interromperam suas operações. No Brasil, o impacto foi bem menor, mas pelo menos 6 bancos e o Banco Central relataram problemas. Felizmente, na metade da manhã a maioria dos bancos já normalizado os seus serviços, segundo a Febraban. O STF também adimitiu que teve problemas no período da manhã.

O problema que causou a pane nos computadores rodando o Microsoft Windows aconteceu graças à uma atualização na ferramenta de segurança Falcon Sensor, da CrowdStrike. Após realizar essa atualização, os sistemas afetados apresentam dificuldades para inicializar corretamente, causando o aparecimento do erro na tela azul.

O bug afeta apenas versão da ferramenta Falcon Sensor para Windows. Sistemas em Linux e MacOS não foram impactados.

A Crowdstrike reconheceu o problema e informou que o problema foi identificado, corrigido, e um novo "fix" já foi liberado. Equipamentos Windows que foram ligados após as 5:27 UTC (8h27 no horário de Brasólia) não receberam a atualização bugada e, portanto, estão à salvo.

Em vários fóruns foi compartilhada uma recomendação para mitigar o problema e restaurar os equipamentos (dica também da Kaspersky ). Ela foi confirmada por um diretor da Crowdstrike e citada no comunicado oficial sobre o incidente.. Segue para conhecimento, mas use com cautela:

  1. Inicialize o Windows em Modo de Segurança ou no Ambiente de Recuperação.
  2. Vá até o diretório C:\Windows\System32\drivers\CrowdStrike.
  3. Localize o arquivo que corresponde a “C-00000291*.sys” e exclua-o.
  4. Inicialize o computador normalmente.


Atualizações (15:50):

Atualizações (18:30): Segundo a Crowdstrike, o problema não está afetando hosts baseados em Mac ou Linux, limitou-se aos computadores rodando Windows. Ainda assim, os hosts Windows que não foram afetados não requerem nenhuma ação, pois o arquivo problemático foi revertido.  Não foram afetados:

  • Os hosts do Windows que ficam on-line após 05h27 UTC
  • Hosts que executam o Windows 7/2008 R2
  • O arquivo de canal "C-00000291*.sys" com carimbo de data/hora de 05h27 UTC ou posterior é a versão revertida (boa).
O arquivo de canal "C-00000291*.sys" com carimbo de data/hora de 04h09 UTC é a versão problemática.

Segundo alguns colegas que trataram esse incidente, é possível automatizar e aplicar os passos acima via GPO.

Ou seja, o problema aconteceu nos computadores Windows que estavam ativos entre 04h09 UTC e 05h27 UTC.

Atualizações (22/07):

(Atualização 24/07): Segundo notícia divulgada no portal Bank Info Security, estima-se que 93% dos sistemas afetados pelo bug da Crowdstrike já tinham sido corrigidos em 23/07.

(Atualização 24/07): A CrowdStrike publicou um vídeo no YouTube mostrando o passo-a-passo de com recuperar os computadores pessoais Windows, se o usuário tiver acesso como administrador local em seu equipamento: CrowdStrike Host Self-Remediation for Remote Users with Local Administrator Privileges

(Atualização 23/07): Desde o dia do incidente, surgiram diversos relatos de atores maliciosos explorando o problema da Crowdstrike em campanhas de phishing para espalhar dicas e falsas atualizações em troca de doações, além de campanhas para disseminar malware disfarçados de atualizações de software.  A própria Crowdstrike alertou em 20/07 sobre uma campanha direcionada a clientes na América Latina, e o portal The Bleeping Computer destacou uma campanha contra o banco BBVA. O portal também noticiou que foi compartilhado um documento do Word com um guia de como corrigir o problema, com um malware embutico para instalar o infostealer Daolpu.

Algumas empresas e pessoas aproveitaram e "surfaram no incidente". A Kaspersky, que recentemente foi banida dos EUA e obrigada a encerrar as suas operações no país, não deixou barato o fato de uma empresa de segurança americana ter derrubado a Internet (esse post foi reproduzido no Instagram e na conta brasileira deles):


O pessoal do KitKat, por sua vez, aproveitou que os computadores "deram um tempo"e a galera ficou ociosa:


E teve um cara que tirou o maior proveito da situação. Ele colocou em suas redes sociais que era um "ex-funcionário da Crowdstrike, demitido por um motivo injusto" e disse ter feito a atualização de software, no seu primeiro dia de trabalho, que resultou nesse apagão global:


Já estão compartilhando também a idéia de criar o "Dia Internacional da Tela Azul":


(Atualizado em 22/07) A galera não perdoa! Desde o final de sexta-feira 19/07 tem circulado algumas mensagens nas redes sociais e no Whatsapp lembrando que o em 2010 o atual CEO da CrowdStrike, George Kurtz, era o CTO da McAfee em 2010, quando o antivírus teve um grande problema que, da mesma forma, parou máquinas Windows em todo o mundo. Na ocasião, uma atualização de assinatura (ops, parece similar, né?) fez com que o antivírus começasse a identificar um arquivo de sistema do Windows como se fosse um vírus, o svchost.exe. Como resultado, os computadores Windows XP em todo o mundo começaram a dar tela azul.

O incidente do dia 19/07 rapidamente virou piada e gerou diversos memes. O pessoal do XKCD e das tirinhas nacionais Vida de Suporte e Vida de Programador não deixaram passar o incidente:

 

Obviamente, temos muitos memes sobre esse incidente:

 


     


   

   

   


   


   

Adicionado em 22/07): Alerta de Meme: Descobriram o motivo do impacto ter sido menor aqui no Brasil:


E, para finalizar, a mensagem motivacional para os profissionais de segurança da Informação:


Mais referências:

PS: Post atualizado em 20 e 22/07 para ajustar uns links, adicionar outros, incluir algumas informações e, principalmente, mais fotos e memes :) Atualizado em 23/07 para incluir um alerta da Crowdstrike sobre golpes. Atualizado em 24 e 29/07.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.