As interrupções podem resultar em “milhões” perdidos por organizações impactadas que tiveram que interromper suas operações ou parar seus negócios, diz Lukasz Olejnik, um consultor independente de cibersegurança, que diz que a atualização da CrowdStrike parece estar ligada ao seu produto Falcon Sensor. O sistema Falcon faz parte das ferramentas de segurança da CrowdStrike e pode bloquear ataques em sistemas, de acordo com a empresa.
“Isso nos lembra da nossa dependência da tecnologia da informação e do software,” diz Olejnik. “Quando um sistema tem vários sistemas de software mantidos por diversos fornecedores, isso equivale a depositar confiança neles. Eles podem ser um único ponto de falha—como aqui, quando várias empresas sentem o impacto.”
A interrupção proveniente da atualização da CrowdStrike teve um grande impacto em serviços públicos e empresas ao redor do mundo. Vários aeroportos estão enfrentando atrasos e longas filas, com um passageiro na Índia compartilhando um cartão de embarque feito à mão que lhe foi emitido. Nas horas após o surgimento das interrupções, mais de 4.000 voos ao redor do mundo foram cancelados, embora nem todos eles possam estar diretamente ligados à interrupção.
Dentro da área da saúde e dos serviços de emergência, diversos provedores de serviços médicos ao redor do mundo relataram problemas com seus sistemas vinculados ao Windows, compartilhando notícias nas redes sociais ou em seus próprios websites. O Sistema de Alerta de Emergência dos EUA, que emite alertas de furacão, disse que houve várias interrupções do 911 em diversos estados. Em Portland, o prefeito Ted Wheeler declarou estado de emergência devido a alguns dos problemas, embora também tenha dito que muitos sistemas estavam sendo restaurados. Autoridades da Casa Branca dizem que o presidente Joe Biden foi “informado” sobre as interrupções da CrowdStrike e sua equipe está monitorando a situação.
O Hospital Universitário Schleswig-Holstein, na Alemanha, disse que estava cancelando algumas cirurgias não urgentes em duas localidades. Em Israel, mais de uma dúzia de hospitais foram impactados, bem como farmácias, com relatos de ambulâncias sendo redirecionadas para organizações médicas não afetadas.
No Reino Unido, o NHS England confirmou que os sistemas de agendamento de consultas e de registros de pacientes foram afetados pelas interrupções. Um hospital declarou um incidente “crítico” depois que um sistema de TI de terceiros que eles utilizavam foi impactado. Também no país, operadores de trens relataram atrasos em toda a rede, com várias empresas sendo afetadas.
Indicando a natureza abrangente da interrupção, os organizadores dos Jogos Olímpicos de Paris, que devem começar na próxima semana, disseram que seus sistemas foram impactados de forma “limitada”. Segundo um comunicado dos organizadores, os sistemas afetados estão relacionados à entrega de uniformes e seu sistema de vendas de ingressos não foi afetado.
Entre outros serviços, a CrowdStrike fornece detecção e resposta de endpoint (EDR) para empresas ao redor do mundo. Essa tecnologia de EDR opera em milhares de “endpoints”—como computadores, caixas eletrônicos e dispositivos de Internet das Coisas—e escaneia para identificar ameaças em tempo real, como atividades maliciosas de cibercriminosos. A empresa tem mais de 24.000 clientes ao redor do mundo.
O pesquisador de cibersegurança Kevin Beaumont postou no X que viu uma cópia da atualização da CrowdStrike que foi emitida e diz que o arquivo não está formatado corretamente e “faz o Windows travar toda vez.” Beaumont diz, em posts adicionais, que parece não haver uma maneira automatizada de corrigir os problemas, pelo menos atualmente. Isso pode significar que máquinas afetadas precisam ser reiniciadas manualmente antes de voltarem online, um processo que pode levar horas ou dias, dependendo da entidade afetada.
Brody Nisbet, diretor de vigilância da CrowdStrike, também postou no X indicando que a correção alternativa emitida pela empresa envolve inicializar as máquinas com Windows no modo de segurança, encontrar um arquivo chamado “C-00000291*.sys,” deletá-lo e então reinicializar a máquina normalmente. “Existe uma correção de certa forma, então alguns dispositivos entre Tela Azul da Morte devem pegar o novo arquivo do canal e permanecer estáveis,” postou Nisbet.
