O que e o CrowdStrike e como ele causou uma interrupção massiva em serviços no mundo

Obrigado por visitar o Nerdweek!

Sortudo!!! Sem ad pra você hoje! Com isso compartilhe com os amigos!

Milhares de máquinas Windows estão enfrentando um problema de Tela Azul da Morte (BSOD) na inicialização hoje (19/07/2024), afetando bancos, companhias aéreas, emissoras de TV, supermercados e muitas outras empresas em todo o mundo. Uma atualização defeituosa do provedor de segurança cibernética CrowdStrike está deixando os PCs e servidores afetados off-line, forçando-os a um loop de inicialização de recuperação para que as máquinas não possam iniciar corretamente.

O problema não está sendo causado pela Microsoft, mas pelo software CrowdStrike de terceiros, amplamente utilizado por muitas empresas em todo o mundo para gerenciar a segurança de PCs e servidores Windows.

Bancos, companhias aéreas e emissoras de TV australianas deram o alarme pela primeira vez quando milhares de máquinas começaram a ficar off-line. Os problemas espalharam-se rapidamente à medida que as empresas sediadas na Europa iniciavam o seu dia de trabalho. A emissora britânica Sky News não conseguiu transmitir seus boletins de notícias matinais durante horas esta manhã e exibiu uma mensagem pedindo desculpas pela “interrupção desta transmissão”. A Ryanair, uma das maiores companhias aéreas da Europa, também afirma estar enfrentando um problema de TI de “terceiros”, que está afetando as partidas dos voos.

O que é CrowdStrike?

CrowdStrike é uma empresa especializada em cibersegurança que fornece serviços e produtos para proteger organizações contra ameaças cibernéticas. A principal oferta da empresa é o CrowdStrike Falcon, uma plataforma de proteção de endpoint baseada na nuvem.

Como Funciona o CrowdStrike?

  1. Proteção de Endpoint: O CrowdStrike Falcon é uma plataforma de segurança para endpoints que inclui servidores, estações de trabalho e dispositivos móveis. Ele usa uma combinação de análise comportamental, inteligência artificial (IA) e aprendizado de máquina para identificar e neutralizar ameaças.
  2. Detecção e Resposta: A plataforma coleta e analisa dados de endpoints em tempo real. Ela detecta atividades suspeitas e ataques potenciais usando uma abordagem baseada em nuvem, permitindo uma resposta rápida a incidentes.
  3. Inteligência de Ameaças: CrowdStrike fornece inteligência de ameaças atualizada e análise forense para ajudar a identificar e entender os métodos de ataque e os atores por trás dos ataques.
  4. Prevenção e Remediação: A plataforma bloqueia automaticamente ameaças conhecidas e usa técnicas de prevenção para evitar que novos tipos de ataques sejam bem-sucedidos. Também oferece ferramentas de remediação para restaurar sistemas comprometidos.
  5. Cloud-Native Architecture: O Falcon é baseado em nuvem, o que significa que ele não exige a instalação de infraestrutura local complexa. Isso permite uma escalabilidade mais fácil e uma gestão centralizada.

Empresa Detentora dos Direitos

A CrowdStrike, Inc. é a empresa responsável pelos produtos e serviços mencionados. Fundada em 2011, a CrowdStrike é uma empresa pública listada na Bolsa de Valores NASDAQ sob o símbolo CRWD. A sede da empresa está localizada em Sunnyvale, Califórnia, EUA.

SOLUÇÃO

Opção 1:​​​​

  • Desanexe o volume do disco do sistema operacional do servidor virtual afetado
  • Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais
  • Anexe/monte o volume em um novo servidor virtual
  • Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
  • Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
  • Desconecte o volume do novo servidor virtual
  • Reconecte o volume fixo ao servidor virtual afetado

Opção 2:

  • ​​​​​​​Reverter para um instantâneo antes de 0409 UTC.

Opção 3:

  • Reinicie o computador em modo de segurança (safe mode) como admistrador
  • Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
  • Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
  • Inicie o sistema novamente.
Statement on Falcon Content Update for Windows Hosts - crowdstrike.com

https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/