Il 19 luglio 2024 è stata una giornata nera per il Web. Il trend del giorno è stato “Microsoft down”, ma i disservizi globali che hanno causato caos in diversi settori sono stati provocati da CrowdStrike, una delle principali aziende di cybersecurity.
L’azienda è nota per la sua piattaforma di protezione degli endpoint, Falcon. Tuttavia, un aggiornamento problematico del suo software ha causato il blocco dei Pc Windows che lo usavano, interrompendo i servizi per molti clienti.
L’incidente ha provocato un crollo del 20% delle azioni di CrowdStrike nel pre-market e una riduzione di circa il 10% durante le contrattazioni ordinarie. Ma chi è e cosa fa esattamente Crowdstrike?
Chi è CrowdStrike?
Fondata nel 2011 da George Kurtz, Dmitri Alperovitch e Gregg Marston, CrowdStrike si è rapidamente affermata come leader nel campo della cybersecurity. La missione dell’azienda è fornire soluzioni di sicurezza informatica avanzate, utilizzando tecnologie di intelligenza artificiale e machine learning per prevenire attacchi informatici in modo proattivo.
La piattaforma principale di CrowdStrike, Falcon, è una suite di soluzioni di sicurezza basate sul cloud. Utilizzando sensori leggeri installati sugli endpoint, Falcon raccoglie dati che vengono analizzati centralmente per identificare e neutralizzare minacce in tempo reale.
Le caratteristiche principali della piattaforma includono:
- Endpoint Detection and Response (EDR): Fornisce visibilità in tempo reale e capacità di risposta rapida alle minacce avanzate.
- Threat Intelligence: Analizza il panorama globale delle minacce e fornisce aggiornamenti su nuovi attacchi e tecniche utilizzate dagli aggressori.
- Incident Response: Aiuta le organizzazioni a gestire e mitigare le conseguenze di una violazione della sicurezza.
- Managed Threat Hunting: Monitoraggio continuo degli endpoint da parte di esperti di sicurezza per identificare e neutralizzare potenziali minacce.
- Cloud Security: Protezione delle risorse cloud, inclusi carichi di lavoro e applicazioni su piattaforme cloud.
Guasto informatico di CrowStrike: cosa è successo?
Pertanto, il guasto informatico che ha paralizzato numerosi sistemi a livello globale non è stato causato da un cyberattacco, ma da un problema tecnico del software.
Il malfunzionamento è stato scatenato da un aggiornamento difettoso del software Falcon Sensor di CrowdStrike, progettato per gli host Windows. Questo aggiornamento ha provocato crash del sistema operativo, con numerosi computer che hanno visualizzato la famigerata schermata blu di errore (Blue Screen of Death, BSoD).
I settori colpiti sono stati vasti e vari, tra cui banche, media e compagnie aeree, con conseguenti interruzioni delle attività quotidiane. I computer aziendali che hanno ricevuto l’aggiornamento problematico non sono riusciti a riavviarsi correttamente, bloccando efficacemente le operazioni aziendali.
CrowdStrike ha prontamente riconosciuto il problema e ha proceduto all’annullamento dell’aggiornamento a livello globale. In una dichiarazione, l’azienda ha confermato di essere a conoscenza degli arresti anomali sugli host Windows e ha dichiarato di essere al lavoro per risolvere la situazione. George Kurtz, Ceo di CrowdStrike, ha rassicurato che il difetto è stato identificato e corretto, e che il team dell’azienda è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti.
Nel frattempo, per le aziende che non potevano attendere una soluzione completa da parte di CrowdStrike, è stata suggerita una procedura temporanea per il ripristino dei computer. Kurtz ha sottolineato che gli host Mac e Linux non sono stati interessati e ha chiarito che si tratta di un problema tecnico, non di un incidente di sicurezza o di un cyberattacco.
CrowdStrike: alla ricerca della soluzione
CrowdStrike è ancora impegnata nella risoluzione del problema. L’azienda si è immediatamente attivata per rilasciare una correzione e ha consigliato ai clienti di utilizzare il portale di supporto per le ultime novità e di comunicare tramite canali ufficiali per garantire una gestione sicura delle correzioni.
Nonostante abbia identificato il problema e ripristinato il servizio a una versione precedente, CrowdStrike ha però avvertito che per i computer colpiti potrebbe essere necessario un intervento manuale oltre al semplice riavvio. Gli esperti suggeriscono di utilizzare un backup precedente all’aggiornamento, se disponibile, o di avviare i computer in modalità provvisoria e rimuovere manualmente il file problematico chiamato “C-00000291.sys”. Dopo questa operazione, i computer dovrebbero avviarsi correttamente.
Ma c’è anche il rischio che per risolvere completamente il problema possano passare diversi giorni. CrowdStrike ha fornito una soluzione temporanea che prevede la rimozione manuale del file incriminato, ma in alcuni casi sarà necessario un intervento fisico sui dispositivi, specialmente per le aziende con numerosi computer o quelli equipaggiati con sistemi di crittografia. Questo “workaround” è una misura provvisoria in attesa di un aggiornamento automatico da remoto, ma dovrebbe comunque garantire una protezione adeguata contro ulteriori attacchi.