Un aggiornamento software, rilasciato dalla società di sicurezza informatica CrowdStrike per i sistemi operativi Microsoft Windows, è stata la causa di quello che un esperto ha definito la maggiore interruzione IT della storia. Cosa è successo?
Il 19 luglio 2024 sarà ricordato come un incubo dagli informatici di tutto il mondo, oltre che da numerose compagnie aeree, bancarie, ospedaliere, assicurative e d’informazione, con ricadute su enti governativi che hanno passato ore a proteggere dati sensibili.
Ad aggravare il caos, Windows Azure ha subito un malfunzionamento tra le 21:56 UTC del 18 luglio e le 12:15 UTC del 19 luglio, soprattutto nella zona centrale dell’America del Nord, sebbene Microsoft abbia detto che i due blocchi non erano correlati.
CrowdStrike è un’azienda statunitense con sede ad Austin (Texas) che realizza una suite di software di sicurezza progettati per proteggere i computer dagli attacchi informatici.
Nel 2016, il Democratic National Committee (DNC) ha incaricato CrowdStrike d’indagare sull’hacking russo dei server del DNC, mentre nel 2014 Sony Pictures le aveva dato mandato per fare luce su un cyberattacco, collegato alla Corea del Nord.
La piattaforma Falcon® sfrutta indicatori di attacco in tempo reale, intelligence su tecniche e telemetria per fornire rilevamenti iper-accurati, protezione e correzione automatizzate, caccia alle minacce d’élite ed individuazione prioritaria delle vulnerabilità.
Falcon installa un sensore a livello di sistema operativo su singoli computer per rilevare e prevenire i rischi. Le patch vengono distribuite regolarmente ai propri clienti per consentire di affrontare nuove minacce.
Cosa è successo?
Alle 04:09 UTC, CrowdStrike ha rilasciato un aggiornamento di configurazione del sensore per Windows che ha determinato un errore logico, provocando il crash del sistema e la schermata blu BSoD ossia Blue Screen of Death, schermata blu della morte.
Il problema è stato risolto il 19 luglio 2024 alle 05:27 UTC e la società ha affermato che non si trattava di un attacco informatico.
Impatto
I clienti con Falcon sensor per Windows versione 7.11 e successive, online tra le 04:09 UTC e le 05:27 UTC del 19 luglio, potrebbero essere stati coinvolti.
Dettagli Tecnici
I file di configurazione, chiamati “Channel Files”, sono nella directory:
`C:\Windows\System32\drivers\CrowdStrike\`
Il file incriminato è il 291 (`C-00000291-.sys`) che controlla la valutazione dell’esecuzione dei named pipe su Windows. L’aggiornamento delle 04:09 UTC mirava a nuovi named pipe malevoli usati da framework di C2, comuni negli attacchi informatici, ma ha originato un errore logico.
Cosa sono i named pipe
I “named pipe” sono uno strumento di comunicazione interprocessuale (IPC) locali e su rete. Ogni named pipe ha un nome univoco nel file system e può essere utilizzato da uno o più processi per scambiarsi dati in modo bidirezionale. L’errore logico ha procurato un crash di sistema perché il sensore tentava di gestire nuovi named pipe malevoli osservati recentemente.
Correzione
CrowdStrike ha corretto l’errore nel file 291. Non sono previste ulteriori modifiche al file. I sistemi che non sono attualmente impattati continueranno a funzionare normalmente, mentre Linux e macOS non sono stati interessati.
Analisi della causa principale
CrowdStrike sta conducendo un’indagine approfondita per capire e migliorare i processi evitando futuri problemi.
Cosa potrebbe essere andato storto
E’ comprensibile che un evento di tale portata danneggi la fiducia nei confronti di CrowdStrike. Ecco alcune possibili cause:
- Errori di logica complessi difficili da individuare nei test preliminari, specialmente se si manifestano solo in condizioni specifiche.
- Ambienti di staging imperfetti che non replicano perfettamente tutte le configurazioni ed i carichi di lavoro del mondo reale.
- Problemi di comunicazione tra i team di sviluppo, test ed implementazione.
Bisogna considerare che anche le migliori aziende possono incorrere in difficoltà di questo genere nonostante rigidi processi di controllo della qualità. L’importante è come l’azienda risponde.
Secondo l’ex CEO di McAfee, Dave DeWalt, un gruppo di organizzazioni private e governative ha lavorato tutta la notte per trovare una soluzione, inclusa la Cybersecurity and Infrastructure Security Agency.
L’ex agente dell’FBI, Rob D’Amico, ha dichiarato alla CNN che le implicazioni per la sicurezza nazionale del guasto globale dei computer sono superiori a quanto la maggior parte della persone pensi.
RIPRODUZIONE RISERVATA – © 2024 SHOWTECHIES – Quando la Tecnologia è spettacolo™ – E’ vietata la riproduzione e redistribuzione, anche parziale, dell’articolo senza autorizzazione scritta. Se desideri riprodurre i contenuti pubblicati, contattaci.
Immagini: CrowdStrike
Un’analisi sintetica che non mette sulla graticola i programmatori. Il fatto che Azure fosse giù, dà da pensare…