L’aggiornamento di CrowdStrike ha causato un blocco globale dei computer Windows, mostrando la temuta schermata blu della morte. Diverse aziende e organizzazioni sono state colpite, con ripercussioni significative su aeroporti, banche e media. In questo articolo, analizzeremo cosa è successo, le soluzioni disponibili e come prevenire futuri inconvenienti.
Indice dei contenuti
Che cosa è successo?
Un aggiornamento di CrowdStrike ha generato un problema globale, causando il blocco dei computer Windows. Questo aggiornamento ha influenzato il prodotto Falcon Sensor di CrowdStrike, descritto dall’azienda come una piattaforma costruita per fermare le violazioni tramite tecnologie cloud che prevengono tutti i tipi di attacchi, inclusi malware.
Gli effetti del blocco
Il blocco ha avuto un impatto significativo su diverse aziende e servizi. Tra i più colpiti ci sono:
- Sky News: impossibilitata a trasmettere.
- Aeroporti negli Stati Uniti: con voli a terra.
- Treni nel Regno Unito: servizi interrotti.
- Aeroporto di Edimburgo: scanner di imbarco fuori uso.
Microsoft ha riferito di aver preso misure di mitigazione dopo aver riscontrato problemi di servizio iniziati intorno alle 18:00 ora orientale. Inoltre, stanno investigando su problemi con i servizi cloud negli Stati Uniti e su vari applicativi e servizi impattati.
La causa del problema
Inizialmente si pensava a un aggiornamento difettoso, ma successivamente Brody, direttore di CrowdStrike Overwatch, ha chiarito che si trattava di un file di canale difettoso, non un aggiornamento.
Soluzione temporanea
Brody ha suggerito una soluzione temporanea per risolvere il problema:
- Avviare Windows in modalità provvisoria o WRE.
- Andare su
C:\Windows\System32\drivers\CrowdStrike. - Individuare e cancellare il file che corrisponde a “C-00000291*.sys”.
- Riavviare normalmente.
Cosa fare adesso?
Affrontare questo problema non è semplice, soprattutto in grandi aziende. Adam Harrison, direttore generale di FTI Cybersecurity, afferma che le soluzioni manuali richiedono tempo per essere applicate dai system admin. CrowdStrike non può inviare un nuovo aggiornamento da remoto per risolvere il problema, necessitando così di un intervento manuale su ogni sistema.
Fix manuale
La correzione è rapida da eseguire, ma su larga scala può risultare un processo lungo e complicato, specialmente se si tratta di migliaia di server o workstation. In molti casi, potrebbe essere necessario ripristinare da backup o copie shadow per risolvere il problema.
Azioni di CrowdStrike
CrowdStrike può solo comunicare la correzione in modo rapido e ampio. È probabile che l’aggiornamento problematico sia già stato ritirato, quindi i sistemi che non hanno aggiornato non dovrebbero essere colpiti.
Possibili soluzioni future
Ian Thornton-Trump, CISO di Cyjax, suggerisce che CrowdStrike farà del suo meglio per ritirare l’aggiornamento e impedire ulteriori aggiornamenti fino alla risoluzione del problema. Tuttavia, per le macchine già colpite dalla schermata blu, potrebbe essere necessario avviare in modalità provvisoria e applicare una patch fuori banda. Questo processo è dispendioso in termini di tempo, soprattutto se le macchine sono critiche.
Strumenti di riparazione
Harrison suggerisce che CrowdStrike potrebbe sviluppare un tool che applichi la correzione a livello di disco, utilizzando supporti avviabili. Questo potrebbe aiutare chi ha migliaia di sistemi da riparare, ma non rappresenta una soluzione completamente remota o scalabile.
Leggi anche: Censura di Bing in Cina: Microsoft sotto accusa
