CrowdStrike ha pubblicato sul suo blog una ricostruzione tecnica dell’accaduto promettendo “uno sforzo continuo” di supporto ai clienti impattati: “Abbiamo corretto l’errore aggiornando il contenuto nel Channel File 291. Non verranno implementate ulteriori modifiche” a questo file.
CrowdStrike ha pubblicato sul suo blog una ricostruzione tecnica dell’accaduto promettendo “uno sforzo continuo” di supporto ai clienti impattati: “Abbiamo corretto l’errore aggiornando il contenuto nel Channel File 291. Non verranno implementate ulteriori modifiche” a questo file.
“Il 19 luglio 2024 alle 4:09 Utc (le 6:09 in Italia, ndr) abbiamo rilasciato un aggiornamento del sensore Falcon per i sistemi Windows, un’operazione di routine della piattaforma”, così inizia la ricostruzione di CrowdStrike. “Questo aggiornamento – aggiunge – ha attivato un errore che ha provocato un arresto anomalo del sistema e una schermata blu della morte sui sistemi interessati. L’arresto è stato risolto alle 5:27 Utc. Non è dovuto o correlato ad un attacco informatico”, ribadisce la società.
In pratica, “potrebbero essere stati impattati” tutti gli utenti che utilizzano il software di sicurezza informatica Falcon Sensor per Windows (nella versione 7.11 e successive) e che erano online venerdì 19 luglio tra le 4:09 e le 5:27 Utc. L’aggiornamento – spiega ancora CrowdStrike – passa per i cosiddetti ‘file di canale’ «una parte normale del funzionamento del sensore”, un processo “non nuovo e «un’architettura in vigore sin dall’inizio di Falcon”.
Ma evidentemente in questa operazione di routine qualcosa deve essere andato storto, un errore di dialogo tra i sistemi Windows e l’aggiornamento stesso. Il file di canale interessato da questo evento è stato identificato nel ‘Channel File 291‘ (la denominazione completa è «C-00000291.sys»), così l’aggiornamento delle 4:09 progettato per rinforzare il sistema dagli attacchi informatici “ha attivato un errore logico che ha provocato un arresto anomalo del sistema operativo”.
La società ha poi corretto “l’errore aggiornando il contenuto nel Channel File 291» e assicura che “non verranno implementate ulteriori modifiche”. Venerdì CrowdStrike ha rilasciato una soluzione manuale, da effettuare fisicamente su ogni macchina colpita.
“Stiamo effettuando un’analisi approfondita della causa principale per determinare come si sia verificato questo difetto – conclude CrowdStrike – Questo sforzo sarà continuo. Ci impegniamo ad identificare eventuali miglioramenti fondamentali e aggiorneremo sui risultati delle analisi man mano che l’indagine procede”.
L’interruzione ha coinvolto circa 8,5 milioni di dispositivi Windows
Secondo Microsoft l’interruzione globale di venerdì ha interessato circa 8,5 milioni di dispositivi Windows.
In un post del blog, il vicepresidente di Enterprise and OS Security di Microsoft, David Weston, ha scritto che l’azienda sta lavorando per “sviluppare una soluzione scalabile che aiuterà l’infrastruttura Azure di Microsoft ad accelerare una correzione per l’aggiornamento difettoso”.
Microsoft ha chiesto il supporto di Amazon Web Services (AWS) e Google Cloud Platform (GCP) per tenere in piedi le appliance non disponibili. Per i dispositivi che eseguono Windows 7.11 e versioni successive che utilizzano il sensore Falcon, la criticità ha “innescato un errore logico che ha causato un crash del sistema operativo” scrive Microsoft sul post. Il numero totale di dispositivi interessati è risultato essere “meno dell’uno percento di tutte le macchine Windows”, secondo Weston.