Uma atualização de software defeituosa emitida pela gigante de segurança CrowdStrike resultou em uma interrupção massiva que afetou computadores com Windows ao redor do mundo, causando transtornos em empresas, aeroportos, estações de trem, bancos, emissoras e no setor de saúde.
CrowdStrike afirmou que a falha não foi causada por um ataque cibernético, mas sim por um “defeito” em uma atualização de software para seu principal produto de segurança, Falcon Sensor. O defeito causou a queda de computadores com Windows que tinham o Falcon instalado, impedindo-os de carregar completamente.
“A questão foi identificada, isolada e uma correção foi implantada,” disse a CrowdStrike em um comunicado na sexta-feira. Algumas empresas e organizações estão começando a se recuperar, mas muitas esperam que as interrupções se prolonguem até o fim de semana ou até a próxima semana devido à complexidade da correção. O CEO da CrowdStrike, George Kurtz, disse à NBC News que pode levar “algum tempo para que alguns sistemas se recuperem automaticamente.” Em um tweet posterior, Kurtz se desculpou pelo transtorno.
Entre quinta-feira à noite e sexta-feira, começaram a surgir relatos de problemas de TI, onde computadores com Windows apresentavam a infame “tela azul da morte” — uma tela de erro brilhante que aparece quando o Windows encontra uma falha crítica, trava ou não consegue carregar.
As interrupções foram inicialmente notadas na Austrália na manhã de sexta-feira, e relatos rapidamente surgiram do resto da Ásia e Europa conforme essas regiões começavam seu dia, bem como dos Estados Unidos.
Rapidamente, a CrowdStrike confirmou que uma atualização de software para o Falcon havia falhado e estava causando a queda de computadores com Windows que tinham o software instalado. O Falcon permite que a CrowdStrike analise remotamente e verifique ameaças maliciosas e malware em computadores instalados.
No mesmo período, a Microsoft relatou uma interrupção significativa em uma das suas regiões de nuvem Azure mais utilizadas, cobrindo grande parte do centro dos Estados Unidos. Um porta-voz da Microsoft disse ao TechCrunch que sua interrupção não estava relacionada ao incidente da CrowdStrike.
Por volta do meio-dia de sexta-feira (horário do leste dos EUA), o CEO da Microsoft, Satya Nadella, postou no X (antigo Twitter) dizendo que a empresa está ciente da atualização falha da CrowdStrike e está “trabalhando de perto com a CrowdStrike e em toda a indústria para fornecer orientação técnica e suporte aos clientes para trazer seus sistemas de volta online com segurança.”
Fundada em 2011, a CrowdStrike rapidamente se tornou uma gigante da cibersegurança. Hoje, a empresa fornece software e serviços para 29.000 clientes corporativos, incluindo cerca de metade das empresas da Fortune 500, 43 dos 50 estados dos EUA e oito das dez maiores empresas de tecnologia, segundo seu site.
O software de cibersegurança da empresa, Falcon, é usado por empresas para gerenciar a segurança em milhões de computadores ao redor do mundo. Esses negócios incluem grandes corporações, hospitais, centros de transporte e departamentos governamentais. A maioria dos dispositivos de consumo não executa o Falcon e não é afetada por essa interrupção.
Um dos maiores feitos recentes da empresa foi quando pegou um grupo de hackers do governo russo invadindo o Comitê Nacional Democrata antes da eleição presidencial dos EUA em 2016. A CrowdStrike também é conhecida por usar nomes de animais memoráveis para os grupos de hackers que rastreia com base em sua nacionalidade, como: Fancy Bear, que se acredita fazer parte da Diretoria Principal de Inteligência do Estado-Maior da Rússia, ou GRU; Cozy Bear, que se acredita fazer parte do Serviço de Inteligência Estrangeira da Rússia, ou SVR; Gothic Panda, que se acredita ser um grupo do governo chinês; e Charming Kitten, que se acredita ser um grupo patrocinado pelo Estado iraniano. A empresa até faz figuras de ação para representar esses grupos, que vende como brindes.
A CrowdStrike é tão grande que é uma das patrocinadoras da equipe Mercedes de F1, e este ano até exibiu um anúncio no Super Bowl — uma novidade para uma empresa de cibersegurança.
Praticamente qualquer pessoa que, durante sua vida cotidiana, interage com um sistema de computador que executa software da CrowdStrike está sendo afetada, mesmo que o computador não seja dela.
Esses dispositivos incluem caixas registradoras em supermercados, quadros de partidas em aeroportos e estações de trem, computadores escolares, laptops e desktops emitidos pelo trabalho, sistemas de check-in de aeroportos, plataformas de emissão de bilhetes e agendamento de companhias aéreas, redes de saúde e muitos outros. Como o software da CrowdStrike é tão onipresente, as interrupções estão causando caos ao redor do mundo de várias maneiras. Um único computador com Windows afetado em uma frota de sistemas pode ser suficiente para interromper a rede.
Repórteres do TechCrunch ao redor do mundo estão vendo e experimentando interrupções, incluindo em pontos de viagem, consultórios médicos e online. Na manhã de sexta-feira, a Administração Federal de Aviação colocou em efeito uma parada de solo, efetivamente interrompendo voos em todo os Estados Unidos, citando a interrupção. Até agora, a rede ferroviária nacional Amtrak está funcionando normalmente.
Dado que o problema se originou em uma empresa, não há muito que o governo federal dos EUA possa fazer. Segundo um relatório de pool, o presidente Biden foi informado sobre a interrupção da CrowdStrike e “sua equipe está em contato com a CrowdStrike e entidades impactadas.” Isso ocorre em grande parte porque o governo federal é cliente da CrowdStrike e também foi afetado.
Várias agências federais foram afetadas pelo incidente, incluindo o Departamento de Educação e a Administração da Seguridade Social, que disse na sexta-feira que fechou seus escritórios como resultado da interrupção.
O relatório de pool disse que a equipe de Biden está “engajada em toda a interagência para obter atualizações setoriais ao longo do dia e está pronta para fornecer assistência conforme necessário.”
Em um tweet separado, o Departamento de Segurança Interna disse que está trabalhando com sua agência de cibersegurança dos EUA, a CISA, a CrowdStrike e a Microsoft — assim como seus parceiros federais, estaduais, locais e de infraestrutura crítica — para “avaliar completamente e abordar as interrupções dos sistemas.”
Sem dúvida, haverá perguntas para a CrowdStrike (e, até certo ponto, para a Microsoft, cuja interrupção não relacionada também causou transtornos durante a noite para seus clientes) de investigadores governamentais e congressistas.
Por enquanto, o foco imediato será a recuperação dos sistemas afetados.
O principal problema aqui é que o software Falcon Sensor da CrowdStrike falhou, causando a queda das máquinas Windows, e não há uma maneira fácil de corrigir isso.
Até agora, a CrowdStrike emitiu um patch e também detalhou uma solução alternativa que pode ajudar os sistemas afetados a funcionar normalmente até que tenha uma solução permanente. Uma opção é que os usuários “reiniciem o [computador afetado] para dar-lhe uma oportunidade de baixar o arquivo do canal revertido,” referindo-se ao arquivo corrigido.
Em uma mensagem para os usuários, a CrowdStrike detalhou alguns passos que os clientes podem tomar, um dos quais requer acesso físico a um sistema afetado para remover o arquivo defeituoso. A CrowdStrike diz que os usuários devem inicializar o computador no Modo de Segurança ou no Ambiente de Recuperação do Windows, navegar até o diretório da CrowdStrike e excluir o arquivo defeituoso “C-00000291*.sys.”
O problema maior de ter que corrigir o arquivo manualmente pode ser uma grande dor de cabeça para empresas e organizações com um grande número de computadores, ou servidores com Windows em datacenters ou locais que podem estar em outra região, ou em um país totalmente diferente.
Em um comunicado na sexta-feira, a CISA atribuiu as interrupções à atualização defeituosa da CrowdStrike e afirmou que o problema não foi devido a um ataque cibernético. A CISA disse que estava “trabalhando de perto com a CrowdStrike e parceiros federais, estaduais, locais, tribais e territoriais, assim como parceiros de infraestrutura crítica e internacionais para avaliar os impactos e apoiar os esforços de remediação.”
A CISA notou, no entanto, que observou atores de ameaças aproveitando-se desse incidente para phishing e outras atividades maliciosas. A agência de cibersegurança não forneceu mais detalhes, mas alertou as organizações para permanecerem vigilantes.
Atores maliciosos podem e irão explorar a confusão e o caos para realizar ataques cibernéticos por conta própria. Rachel Tobac, uma especialista em engenharia social e fundadora da empresa de cibersegurança SocialProof Security, disse em uma série de posts no X para “verificar se as pessoas são quem dizem ser antes de tomar ações sensíveis.”
“Criminosos tentarão usar essa interrupção de TI para fingir ser TI para você ou você para TI para roubar acesso, senhas, códigos, etc.,” disse Tobac.
É fácil entender por que alguns podem ter pensado que essa interrupção foi um ataque cibernético. Interrupções súbitas, telas azuis em aeroportos, computadores de escritório cheios de mensagens de erro e caos e confusão. Como era de se esperar, uma boa quantidade de desinformação já está circulando, mesmo com sites de mídia social marcando incorretamente tópicos em alta como “ataque cibernético.”
Lembre-se de verificar fontes oficiais de notícias e informações, e se algo parecer bom demais para ser verdade, pode ser que seja mesmo.