As interrupções podem resultar em “milhões” de perdas para as organizações afetadas que tiveram que interromper suas operações ou parar os negócios, diz Lukasz Olejnik, um consultor independente de cibersegurança, que diz que a atualização da CrowdStrike parece estar ligada ao seu produto Falcon Sensor. O sistema Falcon faz parte das ferramentas de segurança da CrowdStrike e pode bloquear ataques em sistemas, de acordo com a empresa.
“Isso nos lembra da nossa dependência em TI e software”, diz Olejnik. “Quando um sistema possui vários sistemas de software mantidos por vários fornecedores, isso equivale a depositar confiança neles. Eles podem ser um único ponto de falha—como aqui, quando várias empresas sentem o impacto”.
A interrupção decorrente da atualização da CrowdStrike teve um grande impacto nas instituições públicas e empresas ao redor do mundo. Dezenas de aeroportos estão enfrentando atrasos e longas filas, com um passageiro na Índia compartilhando um cartão de embarque escrito à mão que lhes foi emitido. Nas horas após as interrupções surgirem pela primeira vez, mais de 4.000 voos ao redor do mundo foram cancelados, embora nem todos eles possam estar diretamente ligados à perturbação.
Dentro dos serviços de saúde e emergência, vários prestadores de serviços médicos ao redor do mundo relataram problemas com seus sistemas vinculados ao Windows, compartilhando notícias nas redes sociais ou em seus próprios websites. O Sistema de Alerta de Emergência dos EUA, que emite alertas de furacão, disse que houve várias interrupções no sistema de atendimento médico de urgência em diversos estados. Em Portland, o prefeito Ted Wheeler declarou estado de emergência na cidade como resultado de algumas das interrupções, embora também tenha dito que muitos sistemas estavam sendo restaurados. Autoridades da Casa Branca afirmam que o presidente Joe Biden foi “informado” sobre as interrupções da CrowdStrike e que sua equipe está monitorando a situação.
O Hospital Universitário Schleswig-Holstein da Alemanha disse que estava cancelando algumas cirurgias não urgentes em duas localidades. Em Israel, mais de uma dúzia de hospitais foram impactados, assim como farmácias, com relatos de que ambulâncias foram desviadas para organizações médicas não afetadas.
No Reino Unido, o NHS England confirmou que os sistemas de agendamento de GP e registros de pacientes foram afetados pelas interrupções. Um hospital declarou um incidente “crítico” após um sistema de TI de terceiros que ele usava ser afetado. Também no país, operadores de trem disseram que há atrasos em toda a rede, com várias empresas sendo afetadas.
Indicando a natureza abrangente da interrupção, os organizadores dos Jogos Olímpicos de Paris, que estão previstos para começar na semana que vem, disseram que seus sistemas foram impactados de forma “limitada”. De acordo com um comunicado dos organizadores, os sistemas afetados estão vinculados à entrega de uniformes e seu sistema de bilhetagem não foi afetado.
Entre outros serviços, a CrowdStrike fornece detecção e resposta de endpoint (EDR) para empresas ao redor do mundo. Esta tecnologia de EDR é executada em milhares de “endpoints”—como computadores, ATMs e dispositivos de Internet das Coisas—e os verifica para identificar ameaças em tempo real, como atividades maliciosas de cibercriminosos. A empresa possui mais de 24.000 clientes ao redor do mundo.
O pesquisador de segurança cibernética Kevin Beaumont postou no X que ele viu uma cópia da atualização da CrowdStrike que foi emitida e diz que o arquivo não está formatado corretamente e “faz o Windows travar toda vez”. Beaumont diz, em posts posteriores, que parece não haver uma maneira automatizada de corrigir os problemas, pelo menos atualmente. Isso pode significar que as máquinas afetadas precisam ser reiniciadas manualmente antes que possam voltar online, um processo que pode levar horas ou dias, dependendo da entidade afetada.
Brody Nisbet, diretor de supervisão da CrowdStrike, também postou no X indicando que a solução alternativa emitida pela empresa envolve inicializar as máquinas Windows no modo de segurança, localizar um arquivo chamado “C-00000291 *.sys”, excluí-lo e depois reiniciar a máquina normalmente. “Existe uma correção de certo modo, então alguns dispositivos entre as BSODs deveriam pegar o novo arquivo de canal e permanecer estáveis”, postou Nisbet.
