L'aggiornamento di CrowdStrike provoca un'interruzione IT globale, con conseguente schermata blu di Windows e una crisi mondiale
Il mondo è più connesso che mai, con la tecnologia che si sviluppa e si intreccia tra i continenti e le nazioni per tenerci in comunicazione, per mantenere le nostre attività in funzione e per mantenere i nostri dati al sicuro. Sfortunatamente, queste connessioni significano anche che i danni a un'estremità della rete colpiranno milioni di persone. Questo è esattamente ciò che è successo dopo l'interruzione globale dell'IT che ha causato la comparsa della Blue Screen of Death BSOD sugli schermi di diverse grandi organizzazioni in tutto il mondo. In questo articolo del blog, esploriamo i dettagli dell'interruzione di CrowdStrike e della successiva interruzione di Microsoft, l'impatto che l'incidente ha avuto in tutto il mondo e il modo in cui queste aziende stanno ora rispondendo. Esaminiamo anche cosa potrebbe aver causato l'interruzione mentre è ancora in corso.
L'aggiornamento difettoso di CrowdStrike fa scalpore
La mattina del 19 luglio, gli utenti Microsoft hanno acceso i loro computer e si sono trovati di fronte alla Blue Screen of Death BSOD. Microsoft ha dichiarato di essere a conoscenza del problema " che interessa le macchine virtuali che eseguono Windows Client e Windows Server, con il sensore CrowdStrike Falcon, che potrebbero riscontrare un bug check - o Blue Screen of Death - e bloccarsi in uno stato di riavvio". L'azienda di sicurezza informatica CrowdStrike ha confermato che la causa dell'interruzione globale dell'IT è un aggiornamento software difettoso e sta procedendo al rollback dell'aggiornamento. Microsoft ha stimato che l'impatto è iniziato intorno alle 19:00 UTC del 18 luglio. Diversi aeroporti, banche, ospedali e media hanno iniziato a subire interruzioni in tutto il mondo e sono arrivate segnalazioni diffuse di difficoltà tecniche e Blue Screen of Death (BSOD) su tutte le piattaforme.
La Blue Screen of Death da fonte CNBC TV18
La Blue Screen of Death (schermata blu della morte), nota anche come errore di schermata nera o errore di codice STOP, appare quando un problema critico costringe Windows a spegnersi o riavviarsi inaspettatamente. L'avviso si verifica quando il sistema presenta errori nel software del driver o problemi hardware. Il BSOD indica un guasto completo del sistema a livello del kernel di Windows causato da problemi con i driver o l'hardware di Windows, piuttosto che un arresto anomalo dell'applicazione. Gli utenti potrebbero vedere una notifica del tipo: “Windows è stato chiuso per evitare danni al computer”. Una volta visualizzata la Blue Screen of Death, i lavoratori e gli utenti non possono accedere al sistema. Questa è essenzialmente la realtà per molte organizzazioni in tutto il mondo. Sebbene si tratti di una storia ancora in corso, possiamo comunque provare ad analizzare alcuni degli effetti che l'interruzione globale dell'IT ha avuto finora in tutto il mondo.
Impatto dell'interruzione informatica globale
L'impatto di questo blackout informatico globale sta ancora provocando vittime e milioni di persone sono colpite dagli effetti a catena dell'incidente, mentre le aziende lottano per tornare online. L'incidente di CrowdStrike è già stato definito come una delle più grandi interruzioni informatiche della storia, con un impatto che potrebbe coinvolgere miliardi di persone. Secondo la BBC, Microsoft ha stimato che l'interruzione dell'aggiornamento di CrowdStrike ha interessato 8,5 milioni di dispositivi Windows Vediamo alcuni dei settori colpiti finora:
Radiodiffusione
Le principali emittenti e agenzie di stampa di tutto il mondo hanno iniziato a sperimentare difficoltà tecniche non appena l'interruzione di CrowdStrike ha preso piede. NBC News, MSNBC e Sky News sono tra le principali agenzie che hanno dovuto affrontare interruzioni delle trasmissioni e ricorrere a opzioni di backup per portare la copertura agli spettatori. Anche emittenti australiane come Sky News Australia, ABC, SBS, Channel 7 e Channel 9 hanno segnalato problemi. Da allora, la maggior parte di queste emittenti è riuscita a tornare online.
Aeroporti
Gli aeroporti sono stati i più colpiti dall'interruzione del servizio: oltre 1000 voli sono stati cancellati in tutto il mondo. I maggiori ritardi sono iniziati venerdì mattina, quando i sistemi di prenotazione si sono bloccati. Anche gli aerei sono stati costretti a rimanere a terra perché i loro sistemi informatici sono stati colpiti. Negli Stati Uniti, le compagnie United, American, Delta e Allegiant Airlines sono rimaste a terra. L'elenco completo degli aeroporti colpiti finora, riportato da Sky News, comprende:
- Heathrow - I voli sono “operativi” ma ci sono ritardi
- Luton - Utilizzo di sistemi manuali per i servizi di check-in
- Londra Gatwick - Attenzione ai ritardi
- Manchester - Il check-in richiede più tempo per alcune compagnie aeree
- Aeroporto di Edimburgo - Tempi di attesa più lunghi a causa di un'interruzione di servizio
- Aeroporto di Stansted - I servizi di check-in vengono effettuati manualmente
- Aeroporto di Liverpool - Compagnie aeree colpite
- Aeroporto di Birmingham - Alcuni ritardi al check-in
- Aeroporto di Belfast - Utilizzo della lavagna per fornire i dettagli del volo
- Aeroporto di Berlino Brandeburgo in Germania
- Tutti gli aeroporti spagnoli
- Aeroporto di Amsterdam Schiphol
- Aeroporto di Budapest
- Aeroporto di Sydney in Australia
- Aeroporto Changi di Singapore
- Aeroporto di Hong Kong
- Aeroporto di Narita in Giappone
- Aeroporto di Praga in Repubblica Ceca
- Aeroporto di Melbourne in Australia
- Aeroporto di Zurigo in Svizzera
Gli organizzatori delle Olimpiadi di Parigi hanno dichiarato che l'interruzione ha interessato i loro sistemi informatici e che l'arrivo di alcune delegazioni, le uniformi e gli accreditamenti sono stati ritardati; tuttavia, le interruzioni non hanno riguardato la biglietteria o la consegna della torcia. Negli aeroporti australiani si sono registrate file interminabili e passeggeri bloccati a causa della disattivazione dei servizi di check-in online e delle cabine self-service, anche se i voli erano ancora operativi. Swissport, uno dei maggiori servizi di assistenza a terra per gli aeroporti, i check-in e i bagagli, è stata anch'essa colpita.
Fonte BBC
Molte persone si sono rivolte ai social media per discutere dell'impatto dell'interruzione e per lamentarsi degli enormi ritardi. In India, Hong Kong e Thailandia, molte compagnie aeree sono state costrette a effettuare manualmente il check-in dei passeggeri e a compilare fisicamente le carte d'imbarco quando il sistema è andato in tilt.
Fonte X
Anche le ferrovie del Regno Unito e la Metro Rail degli Stati Uniti hanno subito ritardi a causa dell'interruzione del servizio. Il vettore olandese KLM ha dichiarato di essere stato “costretto a sospendere la maggior parte” delle sue operazioni.
Assistenza sanitaria
L'NHS England ha dichiarato che “la maggior parte degli ambulatori dei medici di base” sono stati colpiti e che gli utenti non hanno potuto prenotare appuntamenti o accedere alle cartelle cliniche. Tra i servizi interessati figurano i service desk IT, i sistemi di prenotazione dei trasporti, i referti radiologici, la NHS App e altro ancora. I servizi di emergenza interessati dall'interruzione informatica globale hanno coinvolto anche le linee del 911 in Alaska, Arizona, Indiana, Minnesota, New Hampshire e Ohio. Anche molte farmacie indipendenti non sono state in grado di accedere alle prescrizioni e alle consegne di farmaci, mentre alcuni ospedali della Germania settentrionale hanno cancellato tutti gli interventi chirurgici elettivi programmati per venerdì - tuttavia, l'assistenza di emergenza non è stata influenzata. Anche il Mass General Brigham sta cancellando tutti gli interventi chirurgici, le procedure e le visite mediche non urgenti precedentemente programmate.
Banche
In Sudafrica, sia Capitec Bank che ABSA Bank hanno segnalato interruzioni del servizio a livello nazionale, ma i servizi sono stati ripristinati poco dopo. Anche le banche neozelandesi ASB e Kiwibank hanno dichiarato che i loro servizi sono stati interrotti. Tra le altre banche colpite figurano Nationwide, Santander, Lloyds, HSBC, NatWest, Bendigo Bank e Adelaide Bank.
Logistica
Anche il trasporto marittimo è stato disturbato dall'interruzione del servizio, quando anche un importante hub per container nel porto polacco del Baltico ha registrato problemi.
Come hanno reagito CrowdStrike e Microsoft?
Dopo le interruzioni iniziali, Microsoft ha dichiarato di essere a conoscenza di un problema che riguardava i dispositivi Windows a causa di un aggiornamento di una “piattaforma software di terze parti”. Il gigante tecnologico ha promesso che una risoluzione sarebbe stata “imminente”. Microsoft 365 ha scritto sui social media che l'azienda stava “lavorando per reindirizzare il traffico interessato verso sistemi alternativi per alleviare l'impatto” e che stava “osservando una tendenza positiva nella disponibilità del servizio”.
George Kurtz, CEO di CrowdStrike, ha assicurato al pubblico che l'organizzazione stava “lavorando attivamente con i clienti colpiti da un difetto riscontrato in un singolo aggiornamento dei contenuti per gli host Windows”, confermando inoltre che gli host Mac e Linux non sono stati colpiti. Ha ribadito che non si tratta di un incidente di sicurezza o di un attacco informatico. Kurtz ha rassicurato che il problema è stato identificato, isolato e che è stato distribuito un fix.
Kurtz ha inoltre rimandato i clienti al portale di supporto per gli ultimi aggiornamenti e assicurandoli che l'azienda continuerà a fornire aggiornamenti completi e continui sul proprio sito web. “Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso i canali ufficiali”, ha ammonito Kurtz, affermando che il suo team è ‘completamente mobilitato per garantire la sicurezza e la stabilità dei clienti di CrowdStrike’.
La registrazione trasmessa dalla segreteria telefonica di CrowdStrike riferisce che l'azienda è a conoscenza delle segnalazioni di crash sulle porte Microsoft relative al sensore CrowdStrike Falcon, uno dei prodotti dell'azienda utilizzati per bloccare gli attacchi online. Kurtz si è scusato per l'interruzione del servizio, affermando che l'azienda è “profondamente dispiaciuta” per l'impatto causato ai clienti, ai viaggiatori e a tutti coloro che ne sono stati colpiti, compresa l'azienda stessa. Ha poi dichiarato che potrebbe essere necessario “un po' di tempo per alcuni sistemi che non si ripristineranno automaticamente”, ma che l'azienda “si assicurerà che ogni cliente sia completamente recuperato”. Le azioni di entrambe le società hanno registrato una perdita di terreno nelle contrattazioni di venerdì mattina. Con un impatto di tale portata, l'incidente ha attirato anche l'attenzione di diverse altre autorità.
Come risolvere i problemi di CrowdStrike
Secondo Forbes, alcuni utenti hanno risolto il problema riavviando il computer. CrowdStrike ha fornito una soluzione manuale per risolvere l'errore della schermata blu. Questa soluzione prevede l'avvio del sistema in modalità provvisoria o nell'ambiente di ripristino di Windows e la navigazione nella directory C:\Windows\System32\drivers\CrowdStrike. In questa directory, gli utenti devono eliminare il file denominato “C-00000291*.sys”. Questo processo disabilita il funzionamento di CrowdStrike e di altri driver di terze parti, come riportato da The Verge.
Microsoft ha anche fornito un piano di recupero con due opzioni di riparazione:
- Recupero da WinPE: questa opzione consente di creare un supporto di avvio che facilita la riparazione del dispositivo.
- Recupero dalla modalità sicura: questa opzione produce un supporto di avvio in modo che i dispositivi impattati possano avviarsi in modalità sicura. L'utente può quindi accedere utilizzando un account con privilegi di amministratore locale ed eseguire le operazioni di ripristino.
Opinioni di terzi sull'incidente di CrowdStrike
Molti governi, agenzie di cybersicurezza e terze parti hanno rilasciato le loro dichiarazioni in merito all'incidente informatico globale. Il cancelliere tedesco, Olaf Scholz, ha dichiarato che le istituzioni di sicurezza tedesche stanno collaborando con i partner internazionali per risolvere l'interruzione del servizio informatico che ha colpito il trasporto aereo, le banche e diverse aziende.
Anche David Seymour, primo ministro ad interim della Nuova Zelanda, ha dichiarato che i funzionari del Paese si stanno “muovendo a ritmo serrato per comprendere i potenziali impatti”, aggiungendo di non avere informazioni che indichino che si tratti di una minaccia alla sicurezza informatica.
Il coordinatore nazionale della sicurezza informatica in Australia, Michelle McGuinness, ha dichiarato che il problema ha causato “disagi” al pubblico e alle imprese. Un portavoce del Consiglio di sicurezza nazionale degli Stati Uniti ha inoltre dichiarato alla CNBC di essere “al corrente dell'incidente e di stare esaminando il problema e le conseguenze”.
Il Servizio nazionale svizzero per la sicurezza informatica (NCSC) ha dichiarato di aver ricevuto “segnalazioni corrispondenti da varie aziende e infrastrutture critiche in Svizzera” in seguito ai continui malfunzionamenti del sistema globale che l'agenzia ha imputato a CrowdStrike.
Su Reddit, gli utenti della community del subreddit CrowdStrike (r/crowdstrike) hanno condiviso quello che sembra essere un avviso dell'azienda rilasciato ai soli clienti che suggerisce che la causa sia il sensore Falcon di CrowdStrike. L'avviso afferma che: “CrowdStrike è a conoscenza di segnalazioni di crash su host Windows relativi al Falcon Sensor. I casi di errore includono la comparsa di un errore nella schermata di controllo del bug relativo al Falcon Sensor”.
Possibili cause dell'interruzione globale delle attività informatiche
Il ruolo di una società di cybersecurity è quello di utilizzare l'accesso privilegiato al software che impedisce le intrusioni non autorizzate. Tuttavia, questa arma a doppio taglio significa anche che le società di cybersicurezza possono diventare una vulnerabilità per le organizzazioni, proprio come CrowdStrike è diventata per Microsoft.
Secondo un avviso inviato da CrowdStrike ai suoi clienti e analizzato da Reuters, il software “Falcon Sensor”, ampiamente utilizzato e creato da CrowdStrike, è stato la causa del crash di Microsoft Windows e del Blue Screen of Death. Il Falcon Sensor di CrowdStrike è un prodotto per la sicurezza degli endpoint che viene eseguito in background e protegge le estremità della rete dalle minacce informatiche. Tuttavia, un semplice aggiornamento difettoso del software ha causato il crash degli endpoint, il che significa che il problema non può essere risolto da remoto e deve essere risolto manualmente, endpoint per endpoint.
Kurtz ha dichiarato che “al sistema è stato inviato un aggiornamento che conteneva un bug software e che ha causato un problema con il sistema operativo Microsoft”, aggiungendo che l'azienda ha identificato il problema molto rapidamente e vi ha posto rimedio. CrowdStrike ha poi fornito consigli su un workaround temporaneo per le aziende tecnologiche:
- Avviare Windows in modalità provvisoria o nell'ambiente di ripristino di Windows (è possibile farlo tenendo premuto il tasto F8 prima che il logo di Windows lampeggi sullo schermo).
- Accedere alla directory C:\Windows\System32\drivers\Crowdstrike
- Individuare il file corrispondente al file “C-00000291*.sys”, fare clic con il pulsante destro del mouse e rinominarlo in “C-00000291*.renamed”.
- Avviare normalmente l'host.
Incidenti di sicurezza come questo hanno un effetto devastante su aziende e industrie su vasta scala. Le piattaforme di sicurezza informatica hanno lo scopo di proteggere e difendere i sistemi da eventuali compromissioni e questo incidente informatico globale ha evidenziato che anche queste fortezze di protezione possono diventare una vulnerabilità. Man mano che l'interruzione di CrowdStrike si sviluppa e le conseguenze diventano note, si presenta un momento critico per gli utenti e per le aziende, in cui le difese sono state messe a terra e gli hacker possono approfittarne. Diverse minacce informatiche di ricaduta sono ormai imminenti, in particolare il potenziale di attacchi ransomware.
Contatta Sangfor per informazioni sul miglioramento dell'infrastruttura cloud e della sicurezza informatica o visitate il sito www.sangfor.it per saperne di più.