A interrupção global de sistemas na sexta-feira, 19 de julho de 2024, foi causada por uma atualização defeituosa da configuração de sensor na plataforma Falcon da CrowdStrike que causou um erro de lógica do Windows, disse a Microsoft.
De acordo com a empresa, a falha atingiu cerca de 8,5 milhões de máquinas, dizendo que isso é “menos de um por cento de todas as máquinas Windows”, mas foi o suficiente para criar problemas para varejistas, bancos, companhias aéreas e muitas outras indústrias e pessoas que dependem desses sistemas.
Em análise técnica divulgada pela CrowdStrike, a empresa explicou que o problema surgiu de um arquivo de configuração chamado “Arquivo de Canal”, parte integrante dos mecanismos de proteção comportamental utilizados pelo sensor Falcon, seu produto de segurança.
Atualizações nesses arquivos são comuns, explicou a empresa, e ocorrem diversas vezes ao dia para incorporar novas táticas e procedimentos identificados pela CrowdStrike. No entanto, a atualização realizada às 04:09 UTC do dia 19 de julho de 2024 acabou disparando um “erro lógico” que resultou em uma falha do sistema operacional, levando à temida “tela azul da morte” (BSOD) nos computadores afetados. Esse problema atingiu sistemas rodando o sensor Falcon para Windows 7.11 ou superior que receberam a configuração atualizada entre 04:09 UTC e 05:27 UTC.
Os arquivos de configuração mencionados acima são chamados de “Arquivos de Canal” e fazem parte dos mecanismos de proteção comportamental usados pelo sensor Falcon. Atualizações nos Arquivos de Canal são uma parte normal da operação do sensor e ocorrem várias vezes ao dia em resposta a novas táticas, técnicas e procedimentos descobertos pela CrowdStrike. Este não é um processo novo; a arquitetura está em vigor desde o início do Falcon.
Em 19 de julho de 2024 às 04:09 UTC, como parte das operações em andamento, a CrowdStrike lançou uma atualização de configuração de sensor para sistemas Windows. […] Esta atualização de configuração disparou um erro lógico resultando em uma falha do sistema e tela azul (BSOD) em sistemas impactados.
CrowdStrike em análise sobre a interrupção globalCrowdStrike explicou que o arquivo não é um driver de kernel, mas é responsável por “como o Falcon avalia a execução do pipe1 nomeado em sistemas Windows”.
O pesquisador de segurança e fundador do Objective See, Patrick Wardle, disse no X que a explicação se alinha com a análise anterior que ele e outros forneceram sobre a causa da falha, já que o arquivo problemático “‘C-00000291’, disparou um erro lógico que resultou em uma falha do sistema operacional ‘(via CSAgent.sys)'”.
Mais interessante disso tudo é que essa falha ocorreu mesmo em máquinas onde estariam ativas configurações destinadas a impedir atualizações automáticas, indicando que os “Arquivos de Canal” do CrowdStrike eram capazes de ser enviados independentemente dessas restrições.
