Alera de spolier: Para obter informações precisas sobre o ocorrido rapidamente, eu recomendo essas duas referências:
- Comunicado oficial da CrowdStrike: Statement on Falcon Content Update for Windows Hosts
- Alerta da CISA.gov: Widespread IT Outage Due to CrowdStrike Update
--
Nesta sexta-feira, 19/08, acordamos com as notícias de que diversos sistemas em todo o mundo foram impactados por um grande problema em ssistemas Windows, causados por uma atualização em uma ferramenta de segurança:
- Apagão cibernético atrasa voos e prejudica serviços bancários e de comunicação ao redor do mundo (G1)
- Apagão cibernético global paralisa voos, afeta finanças e telecomunicações
- Bradesco fora do ar: bancos e filiais apresentam falhas em dia de pane em sistemas da Microsoft ao redor do mundo (Seu dinheiro)
- Apagão cibernético global paralisa voos e afeta TVs, bancos e hospitais (CNN Brasil)
- Global Microsoft outage hits airlines, banks and businesses (CNN)
- Crowdstrike and Microsoft: What we know about global IT outage (BBC)
- Global tech outage live updates: Flights grounded and offices hit as internet users face disruptions (AP)
- Bad CrowdStrike Update Linked to Major IT Outages Worldwide (Security Week)
De repente, computadores em todo o mundo começaram a travar, aparecendo a famosa "tela azul" (ou, em inglês, "Blue Screen of Death", ou BSOD).
O problema foi generalizado ao redor do mundo. Ganhou destaque na imprensa o fato de que as principais companhias aéreas dos EUA interromperam seus voos devido aos problemas de comunicação. Além disso, bancos, bolsas de valores, transportadoras, empresas de mídia e de telecomunicações ao redor do mundo também tiveram falhas em seus sistema que interromperam suas operações. No Brasil, o impacto foi bem menor, mas pelo menos 6 bancos e o Banco Central relataram problemas. Felizmente, na metade da manhã a maioria dos bancos já normalizado os seus serviços, segundo a Febraban. O STF também adimitiu que teve problemas no período da manhã.
O problema que causou a pane nos computadores rodando o Microsoft Windows aconteceu graças à uma atualização na ferramenta de segurança Falcon Sensor, da CrowdStrike. Após realizar essa atualização, os sistemas afetados apresentam dificuldades para inicializar corretamente, causando o aparecimento do erro na tela azul.
O bug afeta apenas versão da ferramenta Falcon Sensor para Windows. Sistemas em Linux e MacOS não foram impactados.
A Crowdstrike reconheceu o problema e informou que o problema foi identificado, corrigido, e um novo "fix" já foi liberado. Equipamentos Windows que foram ligados após as 5:27 UTC (8h27 no horário de Brasólia) não receberam a atualização bugada e, portanto, estão à salvo.
Em vários fóruns foi compartilhada uma recomendação para mitigar o problema e restaurar os equipamentos (dica também da Kaspersky ). Ela foi confirmada por um diretor da Crowdstrike e citada no comunicado oficial sobre o incidente.. Segue para conhecimento, mas use com cautela:
- Inicialize o Windows em Modo de Segurança ou no Ambiente de Recuperação.
- Vá até o diretório C:\Windows\System32\drivers\CrowdStrike.
- Localize o arquivo que corresponde a “C-00000291*.sys” e exclua-o.
- Inicialize o computador normalmente.
Atualizações (15:50):
- Veja o comunicado oficial da CrowdStrike: Statement on Falcon Content Update for Windows Hosts
- Também já foram identificados sites de phishing relacionados ao tema, portanto, tomem cuidado ao pesquisar sobre esse assunto.
Atualizações (18:30): Segundo a Crowdstrike, o problema não está afetando hosts baseados em Mac ou Linux, limitou-se aos computadores rodando Windows. Ainda assim, os hosts Windows que não foram afetados não requerem nenhuma ação, pois o arquivo problemático foi revertido. Não foram afetados:
- Os hosts do Windows que ficam on-line após 05h27 UTC
- Hosts que executam o Windows 7/2008 R2
- O arquivo de canal "C-00000291*.sys" com carimbo de data/hora de 05h27 UTC ou posterior é a versão revertida (boa).
- Em 20/07 a Microsoft lançou uma ferramenta de recuperação: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints;
- Segundo a Microsoft, cerca de 8,5 milhões de dispositivos foram afetados pelo problema da CrowdStrike;
- Vale a pena destacar que os cibercriminosos tentaram explorar essa falha na Crowdstrike. Além de sites de phishing, sites com dicas (verdadeiras ou falsas) e sites com pedidos de doação, também surgiram atores oferecendo ferramentas infectadas por malware:
(Atualização 24/07): Segundo notícia divulgada no portal Bank Info Security, estima-se que 93% dos sistemas afetados pelo bug da Crowdstrike já tinham sido corrigidos em 23/07.
(Atualização 24/07): A CrowdStrike publicou um vídeo no YouTube mostrando o passo-a-passo de com recuperar os computadores pessoais Windows, se o usuário tiver acesso como administrador local em seu equipamento: CrowdStrike Host Self-Remediation for Remote Users with Local Administrator Privileges
(Atualização 23/07): Desde o dia do incidente, surgiram diversos relatos de atores maliciosos explorando o problema da Crowdstrike em campanhas de phishing para espalhar dicas e falsas atualizações em troca de doações, além de campanhas para disseminar malware disfarçados de atualizações de software. A própria Crowdstrike alertou em 20/07 sobre uma campanha direcionada a clientes na América Latina, e o portal The Bleeping Computer destacou uma campanha contra o banco BBVA. O portal também noticiou que foi compartilhado um documento do Word com um guia de como corrigir o problema, com um malware embutico para instalar o infostealer Daolpu.
Algumas empresas e pessoas aproveitaram e "surfaram no incidente". A Kaspersky, que recentemente foi banida dos EUA e obrigada a encerrar as suas operações no país, não deixou barato o fato de uma empresa de segurança americana ter derrubado a Internet (esse post foi reproduzido no Instagram e na conta brasileira deles):
Obviamente, temos muitos memes sobre esse incidente:
- CrowdStrike:
- Alerta Técnico | Windows falha relacionada ao Falcon Sensor | 2024-07-19 (acesso somente para clientes)
- Comunicado oficial: Statement on Falcon Content Update for Windows Hosts
- How to identify hosts possibly impacted by Windows crashes
- Technical Details: Falcon Content Update for Windows Hosts
- To Our Customers and Partners
- Likely eCrime Actor Uses Filenames Capitalizing on July 19, 2024, Falcon Sensor Content Issues in Operation Targeting LATAM-Based CrowdStrike Customers
- Esplicação técnica detalhada: Remediation and Guidance Hub: Falcon Content Update for Windows Hosts
- Veja também o alerta produzido pela CISA.gov, bem objetivo e direto ao ponto: Widespread IT Outage Due to CrowdStrike Update
- Artigo do Brian Krebs: Global Microsoft Meltdown Tied to Bad Crowdstrike Update
- Empresa responsável por pane global de tecnologia perde R$ 65 bi e CEO pede "profundas desculpas"
- Cyber criminals quickly exploit CrowdStrike chaos
- CrowdStrike: pane de sistemas partiu de falha em antivírus corporativo
- ALERTA 10/2024 Falha em atualização de produto CrowdStrike (CTIR Gov)
- Impactos no Brasil:
- CIOs revelam impacto do apagão cibernético da Crowdstrike e Microsoft no Brasil
- Entenda os impactos do apagão cibernético global no Brasil
- Sistema do STF foi atingido por apagão cibernético, mas sem dano aos processos, diz tribunal
- CrowdStrike shares sink as global IT outage savages systems worldwide
- CrowdStrike’s Role In the Microsoft IT Outage, Explained
- 'Feliz Dia Internacional da Tela Azul': pessoas ao redor do mundo brincam com impactos do apagão cibernético
- Vídeo mostra caos nos voos dos EUA durante apagão cibernético; veja
- "Direto do túnel do tempo" (2010): Atualização de antivírus 'mata' arquivo do Windows e danifica sistema
- Apagão cibernético: CrowdStrike afirma que maioria dos computadores voltou a funcionar após a pane
- Microsoft: 8,5 milhões de dispositivos foram afetados por apagão da CrowdStrike
- Sangria nas ações da CrowdStrike continua e já supera R$ 100 bilhões
- Fake CrowdStrike fixes target companies with malware, data wipers
- Fake CrowdStrike repair manual pushes new infostealer malware
- CrowdStrike Cleanup: Vast Majority of Systems Restored
- Fake CrowdStrike repair manual pushes new infostealer malware
- Alerta original (CrowdStrike): Threat Actor Uses Fake CrowdStrike Recovery Manual to Deliver Unidentified Stealer
Nenhum comentário:
Postar um comentário