Crowdstrike e crash informatico, cosa è successo, come intervenire. Sono ore molto complesse per le reti informatiche di tutto il mondo.
(Articolo in costante aggiornamento dalla mattina del 19 luglio. Ultimo aggiornamento: 21 luglio ore 09:00)
Dalla notte tra il 18 e il 19 luglio, come riportato prontamente dal nostro Franz Russo in questo report, un problematico update di Crowdstrike ha generato un disservizio globale. Si sta registrando ovunque, a livello globale, un grande disservizio in rete. Un grande down che sta mettendo in ginocchio compagnie aree, compagnie telefoniche, banche e altri servizi.
Proviamo a fare ordine in questo piccolo aggiornamento dopo avere raccolto le voci di alcuni dei massimi esperti italiani di cybersecurity,
Crowdstrike e crash informatico, non è un attacco cyber
Intanto un chiarimento, quello che sta mettendo in ginocchio infrsastrutture critiche e aziende in tutto il mondo, non è un attacco informatico. «Si tratta – racconta Carlo Mauceli, Presidente di Rina Cyber Commettee, ex CTO e CSO Microsoft Italia – di un problema intercorso nell’aggiornamento di Falcon Sensor, l’agent di Crowdstrike a cui è deputato il blocco degli attacchi informatici ai sistemi protetti. Falcon è il componente principale di una soluzione di sicurezza popolare in ambito enterprise, da qui l’effetto domino con blocchi dei servizi che hanno interessato decine di importanti aziende. I computer interessati, basati su sistema operativo Microsoft Windows si sono bloccati in un loop che portava ogni riavvio a bloccarsi su una schermata blu (Blue Screen of Death) senza via d’uscita».
Crowdstrike e crash informatico, non è un problema legato a Microsoft
Nelle prime ore, trattandosi come detto di un problema di aggiornamento collegato a macchine con sistema opertaivo Windows in molti, tra esperti, testate generaliste ma anche testate di settore, hanno parlando di un “grave problema” legato a Microsoft e in particolare a Microsoft Azure. «Non è così – aggiunge Mauceli – purtroppo non è la prima volta che viene privilegiata la corsa alla notizia rispetto alla realtà dei fatti. Le verifiche del caso, iniziate nella notte italiana fra giovedì 18 e venerdì 19 luglio, hanno chiarito ampiamente che la stessa Microsoft non ha nessuna responsabilità»
A Mauceli fa eco Filadelfio Emanuele, CISO & BU Director di Cybergon, parte di Elmec Informatica, che ha prontamente spiegato: «Da questa mattina i clienti Crowdstrike sono impattati da un blocco della loro operatività. Sono impattati i sistemi operativi windows. Il server o client a seguito del bug del modulo Falcon Sensor va in crash (Blue Screen). Crowdstrike sta aggiornando la nota tecnica con il workaround identificato (cancellazione di un file). La stessa società comunica sui suoi portali di non aprire ticket al supporto, ma di attenersi agli aggiornamenti della nota tecnica».
Crowdstrike e crash informatico, cosa fare
«Al momento – spiega Mauceli – l’unica strada è l’intervento manuale. Serve far partire il sistema operativo in safe mode, collegarsi e rimuovere le componenti Falcon attraverso una serie di task che Microsoft ha prontamente pubblicato. Poi si fa ripartire la macchina».
Crowdstrike sta collaborando attivamente con i clienti colpiti da un difetto riscontrato in un singolo aggiornamento dei contenuti per gli host Windows, ha spiegato poche ore fa il ceo della società George Kurtz, «gli host Mac e Linux non sono interessati. Non si tratta di un incidente di sicurezza o di un cyberattacco. Il problema è stato identificato, isolato ed è stata implementata una soluzione. Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti Crowdstrike»
Come risolvere il BSOD di Windows causato da CrowdStrike in poche semplici mosse
Più nel dettaglio ecco una guida pratica per correre ai ripari:
Il bug di CrowdStrike ha dunque letteralmente paralizzato moltissimi settori di attività, generando disagi e ingenti danni di natura economica e reputazionale, da cui non sarà semplicissimo riprendersi. Tuttavia, la risoluzione pratica del problema è in molti casi molto più semplice di quanto si possa pensare.
Il famigerato schermo blu di Windows, che sta paralizzando milioni di PC in tutto il mondo, è causato da un bug nell’aggiornamento dell’applicazione Falcon Sensor di Crowdstrike.
Di fatto, per risolvere il problema, fino a quando CrowdStrike non rilascerà un aggiornamento funzionante, è sufficiente ripristinare il sistema allo stato precedente l’installazione difettosa, attraverso alcune semplici mosse, da effettuare manualmente, su ogni singola macchina Windows interessata dal problema.
- La prima cosa da fare è avviare Windows in modalità provvisoria, o accedere all’ambiente di ripristino di Windows.
- Selezionare troubleshoot / advanced options / startup settings / restart
- Riavviare il PC in modalità provvisoria con rete, generalmente F5 in fase di riavvio
- Una volta che il sistema si è riavviato in modalità provvisoria, andare su C:\Windows\System32\drivers\CrowdStrike
- Cancellare i file contenenti il pattern “C-00000291*.sys”
- Riavviare normalmente il sistema operativo
Se la procedura viene eseguita correttamente, Windows tornerà regolarmente operativo senza l’ultimo aggiornamento dell’applicazione Falcon Sensor di Crowdstrike.
Si ricorda, in ogni caso, che l’installazione degli aggiornamenti, in particolare su sistemi enterprise, andrebbe preceduta da un’accurata fase di testing in un ambiente isolato, utile a scongiurare problemi in produzione come quelli che hanno paralizzato i PC delle infrastrutture di mezzo mondo.