Questo cyber-caos sarà ricordato come la giornata dei PC con gli schermi blu – Blue Screen of Death (BSOD) – con impatti negativi soprattutto nei settori Trasporti e Finance (anche se dobbiamo considerare una ricaduta piuttosto pesante in molti ambiti: l’emittente britannica Sky News è stata temporaneamente sospesa).
Ecco la causa, spiegata a Key4biz da Emanuele De Lucia, security researcher.
“Nella notte, tra mezzanotte e le tre, CrowdStrike ha rilasciato un aggiornamento del proprio sensore ‘Falcon’. Parliamo di un sensore chiave dell’EDR, ossia del sistema di sicurezza della società che offre servizi di cybersicurezza a livello globale”.
Key4biz. E questo cosa ha causato?
Questo aggiornamento ha sovrascritto un file critico della suite di sicurezza di CrowdStrike, che è un driver. Da qui il blackout dei Pc e dei sistemi Windows. Riavviando i Pc, il personale delle aziende e degli enti coinvolti si sono ritrovati davanti lo schermo blu con il dispositivo inutilizzabile.
Key4biz. Come risolvere questo bug?
Come ‘workaround’, ossia come processo di mitigazione e quindi per risolvere il problema si dovrebbe riavviare il PC in modalità provvisoria, cancellare questo driver e riavviare il dispositivo. Anche se può sembrare banale questa operazione, non è immediata perché sono stati colpiti i server. E richiede tempo soprattutto in aziende con migliaia di PC connessi e in quelle dotate di infrastrutture critiche.
Key4biz. Gli ultimi aggiornamenti?
Il componente oggetto dell’aggiornamento serve alla soluzione EDR Falcon di CrowdStrike per le attività di “kernel-level monitoring”. Le soluzioni EDR richiedono infatti una profonda integrazione con il sistema operativo per monitorare processi, modifiche al file system e attività di rete a livello granulare. Un errore/bug all’interno di questi oggetti, appunto pensati per acquisire un livello di interazione tanto profondo con il sistema operativo, può causare un disservizio tale da non permettere il corretto avvio del sistema (come accaduto).
Key4biz. Cosa insegna questa giornata di cyber-caos?
“Rollback Strategies”. Questo evento dimostra l’importanza dell’implementazione di efficaci strategie di rollback in seno alle aziende ed organizzazioni. Esse possono consentire alle aziende di tornare rapidamente a una versione stabile precedente nel caso in cui un aggiornamento causi problemi imprevisti. Ciò riduce al minimo i tempi di inattività e mitiga l’impatto sulle operazioni.
Per saperne di più:
Un dirigente di CrowdStrike suggerisce di applicare un workaround per sbloccare in emergenza una postazione impattata dal problema.
Le soluzioni di ripristino indicate da Microsoft: https://status.cloud.microsoft/