O que e o CrowdStrike e como ele causou uma interrupção massiva em serviços no mundo

Milhares de máquinas Windows estão enfrentando um problema de Tela Azul da Morte (BSOD) na inicialização hoje (19/07/2024), afetando bancos, companhias aéreas, emissoras de TV, supermercados e muitas outras empresas em todo o mundo. Uma atualização defeituosa do provedor de segurança cibernética CrowdStrike está deixando os PCs e servidores afetados off-line, forçando-os a um loop de inicialização de recuperação para que as máquinas não possam iniciar corretamente.

O problema não está sendo causado pela Microsoft, mas pelo software CrowdStrike de terceiros, amplamente utilizado por muitas empresas em todo o mundo para gerenciar a segurança de PCs e servidores Windows.

Bancos, companhias aéreas e emissoras de TV australianas deram o alarme pela primeira vez quando milhares de máquinas começaram a ficar off-line. Os problemas espalharam-se rapidamente à medida que as empresas sediadas na Europa iniciavam o seu dia de trabalho. A emissora britânica Sky News não conseguiu transmitir seus boletins de notícias matinais durante horas esta manhã e exibiu uma mensagem pedindo desculpas pela “interrupção desta transmissão”. A Ryanair, uma das maiores companhias aéreas da Europa, também afirma estar enfrentando um problema de TI de “terceiros”, que está afetando as partidas dos voos.

O que é CrowdStrike?

CrowdStrike é uma empresa especializada em cibersegurança que fornece serviços e produtos para proteger organizações contra ameaças cibernéticas. A principal oferta da empresa é o CrowdStrike Falcon, uma plataforma de proteção de endpoint baseada na nuvem.

Como Funciona o CrowdStrike?

1. Proteção de Endpoint: O CrowdStrike Falcon é uma plataforma de segurança para endpoints que inclui servidores, estações de trabalho e dispositivos móveis. Ele usa uma combinação de análise comportamental, inteligência artificial (IA) e aprendizado de máquina para identificar e neutralizar ameaças.
2. Detecção e Resposta: A plataforma coleta e analisa dados de endpoints em tempo real. Ela detecta atividades suspeitas e ataques potenciais usando uma abordagem baseada em nuvem, permitindo uma resposta rápida a incidentes.
3. Inteligência de Ameaças: CrowdStrike fornece inteligência de ameaças atualizada e análise forense para ajudar a identificar e entender os métodos de ataque e os atores por trás dos ataques.
4. Prevenção e Remediação: A plataforma bloqueia automaticamente ameaças conhecidas e usa técnicas de prevenção para evitar que novos tipos de ataques sejam bem-sucedidos. Também oferece ferramentas de remediação para restaurar sistemas comprometidos.
5. Cloud-Native Architecture: O Falcon é baseado em nuvem, o que significa que ele não exige a instalação de infraestrutura local complexa. Isso permite uma escalabilidade mais fácil e uma gestão centralizada.

Empresa Detentora dos Direitos

A CrowdStrike, Inc. é a empresa responsável pelos produtos e serviços mencionados. Fundada em 2011, a CrowdStrike é uma empresa pública listada na Bolsa de Valores NASDAQ sob o símbolo CRWD. A sede da empresa está localizada em Sunnyvale, Califórnia, EUA.

SOLUÇÃO

Opção 1:​​​​

• Desanexe o volume do disco do sistema operacional do servidor virtual afetado
• Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais
• Anexe/monte o volume em um novo servidor virtual
• Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
• Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
• Desconecte o volume do novo servidor virtual
• Reconecte o volume fixo ao servidor virtual afetado

Opção 2:

• ​​​​​​​Reverter para um instantâneo antes de 0409 UTC.

Opção 3:

• Reinicie o computador em modo de segurança (safe mode) como admistrador
• Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
• Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
• Inicie o sistema novamente.

https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/