Il 19 luglio 2024, si sono verificati numerosi disservizi a livello globale a causa di un blocco dei sistemi Microsoft Windows, innescato da un aggiornamento errato di un software di terze parti fornito dall’azienda CrowdStrike. Nella stessa giornata, i giornali di tutto il mondo hanno evidenziato i problemi causati a livello globale. La situazione ha visto l’interruzione dell’attività di organizzazioni in settori cruciali come trasporti, banche, sanità e vendita al dettaglio.
Alle 04:09 UTC del 19 luglio 2024, CrowdStrike ha rilasciato un aggiornamento di configurazione del sensore per i sistemi Windows. Questo aggiornamento, parte integrante delle operazioni di protezione continua della piattaforma Falcon, il software di sicurezza installato su dispositivi desktop e portatili per proteggerli dalle minacce informatiche, ha attivato un errore logico che ha causato un crash del sistema, inclusi errori BSOD (Blue Screen Of Death) sui sistemi coinvolti, con conseguente blocco della normale operatività.
Il problema è stato tracciato a un file specifico (C-00000291*.sys) che ha causato il blocco degli endpoint che hanno ricevuto l’aggiornamento. L’aggiornamento che ha provocato il crash è stato ritirato e risolto entro le 05:27 UTC dello stesso giorno.
Secondo il documento di Preliminary Post Incident Review (PIR) rilasciato da CrowdStrike, i sistemi impattati erano connessi a Internet tra le 06:09 e le 07:27 UTC del 19 luglio e utilizzavano la versione 7.11 o successiva del software Falcon Sensor for Windows. L’aggiornamento problematico era relativo alla componente “Rapid Response Content”, distribuito tramite “Channel Files” per rispondere alle nuove minacce scoperte da CrowdStrike. L’aggiornamento mirava a controllare le modalità con cui Falcon valutava l’esecuzione delle Named Pipes per individuare possibili framework C2 utilizzati in attacchi cyber. Un bug nel sistema di validazione del contenuto ha permesso la distribuzione di un aggiornamento difettoso, contenuto nel “Channel File 291”, pur non avendone i requisiti.
Dopo che l’aggiornamento difettoso è stato ricevuto e caricato nel “Content Interpreter” di Falcon Sensor, si è verificato un errore di out-of-bounds memory read, che il sistema non è riuscito a gestire, portando al crash del sistema operativo (BSOD).
Ad oggi, oltre il 97% dei sensori su Windows sono tornati online. A dirlo è George Kurtz, CEO di CrowdStrike. Secondo. Secondo le stime di Microsoft, circa 8,5 milioni di computer Windows sono stati colpiti dall’incidente. Kurtz ha dichiarato su LinkedIn che sono stati mobilitati tutti i mezzi possibili per supportare i clienti e ripristinare i sistemi coinvolti. Ha espresso profondo dispiacere per il disagio causato e ha assicurato che gli sforzi per il recupero completo sono in corso.
Il Garante per la protezione dei dati personali ha avviato accertamenti, in seguito alle notifiche di data breach ricevute, per valutare le conseguenze che il recente blackout dei sistemi informatici potrebbe aver avuto sui dati personali degli utenti, soprattutto in relazione all’utilizzo dei servizi pubblici.
https://www.acn.gov.it/portale/w/cosa-e-successo-a-crowdstrike-intervista-bruno-a-frattasi
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10037602
https://www.crowdstrike.com/blog/falcon-content-update-preliminary-post-incident-report/
