Desvendando o problema recente com a atualização do software CrowdStrike
Há duas semanas, no dia 19 de julho, a CrowdStrike (uma empresa de segurança cibernética conhecida por fornecer segurança de endpoint, inteligência de ameaças e serviços de resposta a ataques cibernéticos) lançou uma atualização problemática que fez com que quase 8,5 milhões de PCs Windows ficassem presos em um loop de inicialização, resultando em “Blue Screens of Death” (BSOD) generalizadas.
Como resultado, o serviço NHS do Reino Unido foi atingido por uma grande interrupção, levando a um backlog “considerável”. Enquanto isso, milhares de voos foram interrompidos, deixando passageiros presos em aeroportos em todo o mundo, e empresas, bancos e varejistas que usam sistemas operacionais Microsoft Windows foram deixados no caos.
Uma atualização do CrowdStrike foi lançada quatro dias depois para anunciar que um número “significativo” de sistemas afetados havia sido corrigido, embora a recuperação fosse levar um tempo.
Felizmente para muitos, a atualização não impactou os sistemas Mac ou Linux.
Mas como uma única atualização de software pode causar caos de TI no mundo todo, e o que podemos aprender com isso?
Identificando a causa raiz
De acordo com um artigo da Wired, a falha ocorreu devido a um erro lógico que causou um “loop de inicialização” nos sistemas Windows, resultando em uma situação em que os sistemas não conseguiam completar o processo de inicialização, levando a falhas contínuas. A atualização desencadeou um pânico no kernel, levando a uma falha em máquinas Windows.
💡 Um kernel é a parte central de um sistema operacional que gerencia tudo no computador. Ele controla o hardware, executa programas e garante que tudo funcione perfeitamente. Se algo der errado no kernel, isso causará problemas sérios, como falhas ou vulnerabilidades de segurança.
De acordo com o Crowdstrike, a atualização não incluiu nenhum novo driver de kernel, mas sim uma atualização de configuração que causou um erro lógico no driver de kernel existente do Crowdstrike. Ao contrário da maioria dos softwares, o Crowdstrike, semelhante a outras soluções de segurança baseadas em host, tem acesso em nível de kernel para poder executar suas tarefas de detecção e resposta a intrusões. Para garantir que softwares como o Crowdstrike possam se manter atualizados com as ameaças mais recentes, essas atualizações de configuração ocorrem várias vezes ao dia. No entanto, mesmo com essa frequência de atualizações, executar testes adequados dessas atualizações para erros e bugs continua sendo crítico. Especialmente dado o impacto que uma atualização defeituosa pode ter, como mostrado neste incidente.
O incidente também destacou a necessidade de redundâncias robustas e planos de failover, como discutido pela Dune Security. A empresa enfatizou que o uso de sistemas de backup e a realização de testes regulares de failover são essenciais para garantir que as operações possam continuar mesmo quando ocorrem falhas de software em grande escala .
Muitos recorreram a várias plataformas para criticar a CrowdStrike depois que vários funcionários de QA foram demitidos recentemente, alegando que o incidente serve como um lembrete claro de que as equipes de tecnologia são indispensáveis e que os ambientes de teste devem estar à altura. Enquanto isso, outros criticaram os funcionários da CrowdStrike por testes inadequados e controle de implementação, com alguns comparando a implementação a um salto de paraquedas “sem testar seu paraquedas”!
Usuários nas mídias sociais compararam o caso da CrowdStrike ao incidente da McAfee em 2010, no qual o CEO da CrowdStrike, George Kurtz, atuava como CTO da McAfee na época. Em um desastre surpreendentemente semelhante, a atualização da McAfee identificou erroneamente um arquivo crítico do sistema Windows, svchost.exe, como malware, o que inadvertidamente desencadeou um desligamento quase mundial de PCs com Windows XP.
Em uma entrevista recente com o Today, George Kurtz, CEO da CrowdStrike, pediu desculpas a todos os clientes:
Como os criminosos cibernéticos tiraram vantagem do incidente CrowdStrike
Embora a CrowdStrike e a Microsoft tenham trabalhado juntas para resolver e mitigar os danos imediatos, os criminosos cibernéticos agora estão capitalizando a atualização caótica por meio de campanhas de phishing e malware.
Os criminosos cibernéticos aproveitaram a oportunidade para explorar o incidente CrowdStrike distribuindo arquivos ZIP maliciosos chamados ‘crowdstrike-hotfix.zip’, que contêm uma carga útil HijackLoader que carrega RemCos. Acredita-se que esta campanha foi criada para atingir clientes da CrowdStrike baseados na América Latina.
Os clientes foram aconselhados a tomar cuidado com criminosos cibernéticos se passando por suporte da CrowdStrike, criando campanhas de phishing para atingir clientes afetados e vendendo scripts para automatizar a recuperação.
Para mais informações e orientações, confira o guia oficial da CrowdStrike e o guia oficial da Microsoft.
Principais aprendizados do incidente
O desastre da CrowdStrike destaca a necessidade de ter um plano de resposta a incidentes robusto. Isso inclui protocolos predefinidos para diferentes tipos de incidentes, estratégias de comunicação para manter as partes interessadas informadas e procedimentos de recuperação para restaurar os serviços o mais rápido possível. É extremamente importante garantir que seus processos de continuidade de negócios sejam atualizados e que as equipes exerçam sua capacidade de executá-los quando necessário.
Esta é uma oportunidade oportuna para os departamentos de TI revisarem seus planos de failover e redundância, pois não importa o quão segura seja sua infraestrutura, você nunca estará totalmente seguro com terceiros envolvidos. Entender os devidos níveis de risco de acesso fornecidos a terceiros é crucial para garantir que seus processos levem em conta esses tipos de cenários de pior caso.
A interrupção da CrowdStrike também deve ser um lembrete para introduzir sistemas de backup que possam assumir o controle durante uma interrupção, testar regularmente os processos de failover e conduzir rotineiramente exercícios de tabletop. As atualizações devem ser extensivamente testadas em um ambiente de preparação que espelhe de perto o ambiente de produção para detectar problemas antes que afetem os usuários. Implementar uma estratégia de implementação em fases para implantar atualizações gradualmente é sempre uma ideia.
E com o incidente ocorrendo após uma rodada de demissões do CrowdStrike QA, um aprendizado final importante é que as equipes de tecnologia são o ganha-pão, junto com um processo de QA consideravelmente rigoroso!
A recente interrupção do CrowdStrike ressalta a importância da preparação, comunicação, resiliência e melhoria contínua no tratamento de incidentes de segurança cibernética e na manutenção da confiança com as partes interessadas.
Invista em Conhecimento e Proteja Seu Futuro Digital
Este incidente com a CrowdStrike é um exemplo claro da importância de estar preparado e informado no campo da cibersegurança. Quer evitar surpresas desagradáveis e garantir que sua empresa esteja protegida contra ameaças cibernéticas? Inscreva-se nos cursos da IBSEC e aprenda com os melhores especialistas do setor.
Na IBSEC, oferecemos uma variedade de cursos que cobrem desde fundamentos de segurança até técnicas avançadas de resposta a incidentes. Aprenda a implementar protocolos eficazes, desenvolver estratégias de resiliência e garantir que sua infraestrutura esteja sempre um passo à frente dos criminosos cibernéticos.
Proteja seu futuro digital. Visite IBSEC e inscreva-se hoje mesmo!
