As interrupções poderiam resultar na perda de “milhões” por organizações impactadas que tiveram que interromper suas operações ou encerrar negócios, diz Lukasz Olejnik, consultor independente de cibersegurança, que diz que a atualização da CrowdStrike parece estar relacionada ao seu produto Falcon Sensor. O sistema Falcon faz parte das ferramentas de segurança da CrowdStrike e pode bloquear ataques em sistemas, de acordo com a empresa. “Isso nos lembra de nossa dependência da TI e do software”, diz Olejnik. “Quando um sistema tem diversos sistemas de software mantidos por vários fornecedores, isso equivale a depositar confiança neles. Eles podem ser um ponto único de falha – como aqui, quando várias empresas sentem o impacto.”
A interrupção decorrente da atualização da CrowdStrike teve um enorme impacto nas serviços públicos e empresas ao redor do mundo. Dezenas de aeroportos enfrentam atrasos e longas filas, com um passageiro na Índia compartilhando um cartão de embarque feito à mão que lhe foi emitido. Nas horas após as interrupções aparecerem, mais de 4.000 voos ao redor do mundo foram cancelados, embora nem todos eles possam estar diretamente ligados à interrupção.
Dentro da saúde e serviços de emergência, vários provedores médicos ao redor do mundo relataram problemas com seus sistemas vinculados ao Windows, compartilhando notícias nas redes sociais ou em seus próprios sites. O Sistema de Alerta de Emergência dos EUA, que emite alertas de furacão, disse que houve várias interrupções do 911 em vários estados. Em Portland, o prefeito Ted Wheeler declarou uma emergência na cidade como resultado de algumas das interrupções, embora também tenha dito que muitos sistemas estão sendo restaurados. Autoridades da Casa Branca dizem que o presidente Joe Biden foi “briefado” sobre as interrupções da CrowdStrike e sua equipe está monitorando a situação.
O Hospital Universitário Schleswig-Holstein, da Alemanha, disse que estava cancelando algumas cirurgias não urgentes em duas localidades. Em Israel, mais de uma dezena de hospitais foram impactados, bem como farmácias, com relatos dizendo que ambulâncias foram redirecionadas para organizações médicas não afetadas.
No Reino Unido, o NHS England confirmou que os sistemas de agendamento de consultas de médicos e registros de pacientes foram afetados pelas interrupções. Um hospital declarou um incidente “crítico” depois que um sistema de TI de terceiros que ele usava foi afetado. Também no país, operadoras de trens disseram que há atrasos em toda a rede, com múltiplas empresas sendo impactadas.
Indicando a abrangência da perturbação, os organizadores dos Jogos Olímpicos de Paris, que devem começar na próxima semana, disseram que seus sistemas foram impactados de forma “limitada”. De acordo com um comunicado dos organizadores, os sistemas afetados estão ligados à entrega de uniformes e seu sistema de bilhética não foi afetado.
Entre outros serviços, a CrowdStrike fornece detecção e resposta de endpoints (EDR) a empresas ao redor do mundo. Essa tecnologia EDR é executada em milhares de “endpoints” – como computadores, caixas eletrônicos e dispositivos de Internet das Coisas – e os escaneia para identificar ameaças em tempo real, como atividade maliciosa de criminosos cibernéticos. A empresa tem mais de 24.000 clientes ao redor do mundo.
O pesquisador de segurança cibernética Kevin Beaumont postou no X que ele viu uma cópia da atualização da CrowdStrike que foi emitida e diz que o arquivo não está formatado corretamente e “faz com que o Windows trave toda vez”. Beaumont diz, em postagens posteriores, que aparentemente não há uma maneira automatizada de corrigir os problemas, pelo menos atualmente. Isso pode significar que as máquinas afetadas precisam ser reiniciadas manualmente antes de poderem voltar online, um processo que pode levar horas ou dias, dependendo da entidade afetada.
Brody Nisbet, diretor de supervisão da CrowdStrike, também postou no X indicando que a solução alternativa emitida pela empresa envolve iniciar as máquinas com Windows no modo de segurança, encontrar um arquivo chamado “C-00000291*.sys, ”excluí-lo e, em seguida, reiniciar a máquina normalmente. “Há uma correção de certo modo, então alguns dispositivos entre as BSODs devem pegar o novo arquivo do canal e permanecer estáveis,” Nisbet postou.
Esta história foi atualizada com mais comentários da Microsoft e detalhes adicionais sobre os impactos da interrupção.
