As interrupções podem resultar em “milhões” sendo perdidos por organizações impactadas que tiveram que interromper suas operações ou parar os negócios, diz Lukasz Olejnik, um consultor independente em segurança cibernética, que diz que a atualização da CrowdStrike parece estar ligada ao seu produto Falcon Sensor. O sistema Falcon faz parte das ferramentas de segurança da CrowdStrike e pode bloquear ataques aos sistemas, de acordo com a empresa.
“Isso nos lembra da nossa dependência da TI e do software”, diz Olejnik. “Quando um sistema tem vários softwares mantidos por diferentes fornecedores, isso equivale a depositar confiança neles. Eles podem ser um ponto único de falha – como aqui, quando várias empresas sentem o impacto.”
A interrupção decorrente da atualização da CrowdStrike teve um grande impacto nas serviços públicos e empresas ao redor do mundo. Dezenas de aeroportos enfrentam atrasos e filas longas, com um passageiro na Índia compartilhando um cartão de embarque manuscrito que recebeu. Nas horas seguintes ao surgimento das interrupções, mais de 4.000 voos ao redor do mundo foram cancelados, embora nem todos possam estar diretamente ligados à interrupção.
Dentro da saúde e serviços de emergência, vários provedores médicos ao redor do mundo relataram problemas com seus sistemas vinculados ao Windows, compartilhando notícias nas redes sociais ou em seus próprios sites. O Sistema de Alerta de Emergência dos EUA, que emite alertas de furacão, disse que houve várias interrupções do 911 em diversos estados. Em Portland, o prefeito Ted Wheeler declarou um estado de emergência na cidade como resultado de algumas das interrupções, embora também tenha afirmado que muitos sistemas estavam sendo restaurados. Autoridades da Casa Branca afirmam que o presidente Joe Biden foi “informado” sobre as interrupções da CrowdStrike e sua equipe está monitorando a situação.
O Hospital Universitário Schleswig-Holstein, da Alemanha, informou que estava cancelando algumas cirurgias não urgentes em duas localidades. Em Israel, mais de uma dúzia de hospitais foram impactados, além de farmácias, com relatos indicando que ambulâncias foram redirecionadas para organizações médicas não afetadas.
No Reino Unido, o NHS England confirmou que os sistemas de consultas de GP e registros de pacientes foram afetados pelas interrupções. Um hospital declarou um incidente “crítico” depois que um sistema de TI de terceiros que usava foi afetado. Também no país, operadores de trens informaram que há atrasos em toda a rede, com várias empresas sendo impactadas.
Indicando a natureza abrangente da interrupção, os organizadores dos Jogos Olímpicos de Paris, que estão programados para começar na próxima semana, disseram que seus sistemas foram impactados de forma “limitada”. De acordo com um comunicado dos organizadores, os sistemas afetados estão relacionados à entrega de uniformes e seu sistema de bilheteria não foi afetado.
Entre outros serviços, a CrowdStrike fornece detecção e resposta de endpoints (EDR) para empresas ao redor do mundo. Esta tecnologia de EDR é executada em milhares de “endpoints” – como computadores, caixas eletrônicos e dispositivos de Internet das Coisas – e os escaneia para identificar ameaças em tempo real, como atividades maliciosas de cibercriminosos. A empresa possui mais de 24.000 clientes ao redor do mundo.
O pesquisador de segurança cibernética Kevin Beaumont postou no Twitter que ele viu uma cópia da atualização da CrowdStrike que foi emitida e diz que o arquivo não está formatado corretamente e “faz o Windows travar toda vez.” Beaumont diz, em outros posts, que aparentemente não há uma maneira automatizada de corrigir os problemas, pelo menos atualmente. Isso pode significar que as máquinas afetadas precisam ser reiniciadas manualmente antes de poderem voltar online, um processo que pode levar horas ou dias, dependendo da entidade afetada.
Brody Nisbet, diretor de supervisão da CrowdStrike, também postou no Twitter indicando que a solução alternativa emitida pela empresa envolve iniciar as máquinas com Windows no modo de segurança, encontrar um arquivo chamado “C-00000291*.sys”, excluí-lo e depois reiniciar a máquina normalmente. “Existe uma solução de certa forma para que alguns dispositivos entre os BSODs possam receber o novo arquivo do canal e permanecer estáveis”, postou Nisbet.
Atualizando 1:35pm ET: Esta história foi atualizada com mais comentários da Microsoft e detalhes adicionais sobre os impactos da interrupção.
