Milhares de máquinas Windows estão enfrentando um problema de Tela Azul da Morte (BSOD) na inicialização hoje (19/07/2024), afetando bancos, companhias aéreas, emissoras de TV, supermercados e muitas outras empresas em todo o mundo. Uma atualização defeituosa do provedor de segurança cibernética CrowdStrike está deixando os PCs e servidores afetados off-line, forçando-os a um loop de inicialização de recuperação para que as máquinas não possam iniciar corretamente.
O problema não está sendo causado pela Microsoft, mas pelo software CrowdStrike de terceiros, amplamente utilizado por muitas empresas em todo o mundo para gerenciar a segurança de PCs e servidores Windows.
Bancos, companhias aéreas e emissoras de TV australianas deram o alarme pela primeira vez quando milhares de máquinas começaram a ficar off-line. Os problemas espalharam-se rapidamente à medida que as empresas sediadas na Europa iniciavam o seu dia de trabalho. A emissora britânica Sky News não conseguiu transmitir seus boletins de notícias matinais durante horas esta manhã e exibiu uma mensagem pedindo desculpas pela “interrupção desta transmissão”. A Ryanair, uma das maiores companhias aéreas da Europa, também afirma estar enfrentando um problema de TI de “terceiros”, que está afetando as partidas dos voos.
O que é CrowdStrike?
CrowdStrike é uma empresa especializada em cibersegurança que fornece serviços e produtos para proteger organizações contra ameaças cibernéticas. A principal oferta da empresa é o CrowdStrike Falcon, uma plataforma de proteção de endpoint baseada na nuvem.
Como Funciona o CrowdStrike?
- Proteção de Endpoint: O CrowdStrike Falcon é uma plataforma de segurança para endpoints que inclui servidores, estações de trabalho e dispositivos móveis. Ele usa uma combinação de análise comportamental, inteligência artificial (IA) e aprendizado de máquina para identificar e neutralizar ameaças.
- Detecção e Resposta: A plataforma coleta e analisa dados de endpoints em tempo real. Ela detecta atividades suspeitas e ataques potenciais usando uma abordagem baseada em nuvem, permitindo uma resposta rápida a incidentes.
- Inteligência de Ameaças: CrowdStrike fornece inteligência de ameaças atualizada e análise forense para ajudar a identificar e entender os métodos de ataque e os atores por trás dos ataques.
- Prevenção e Remediação: A plataforma bloqueia automaticamente ameaças conhecidas e usa técnicas de prevenção para evitar que novos tipos de ataques sejam bem-sucedidos. Também oferece ferramentas de remediação para restaurar sistemas comprometidos.
- Cloud-Native Architecture: O Falcon é baseado em nuvem, o que significa que ele não exige a instalação de infraestrutura local complexa. Isso permite uma escalabilidade mais fácil e uma gestão centralizada.
Empresa Detentora dos Direitos
A CrowdStrike, Inc. é a empresa responsável pelos produtos e serviços mencionados. Fundada em 2011, a CrowdStrike é uma empresa pública listada na Bolsa de Valores NASDAQ sob o símbolo CRWD. A sede da empresa está localizada em Sunnyvale, Califórnia, EUA.
SOLUÇÃO
Opção 1:
- Desanexe o volume do disco do sistema operacional do servidor virtual afetado
- Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais
- Anexe/monte o volume em um novo servidor virtual
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
- Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Desconecte o volume do novo servidor virtual
- Reconecte o volume fixo ao servidor virtual afetado
Opção 2:
- Reverter para um instantâneo antes de 0409 UTC.
Opção 3:
- Reinicie o computador em modo de segurança (safe mode) como admistrador
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
- Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Inicie o sistema novamente.
https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/