Blocco CrowdStrike: Causa, Impatto e Risoluzione del Bug del 19 Luglio 2024 (Analisi Tecnica)

Il 19 luglio 2024 alle 04:09 UTC, CrowdStrike ha rilasciato un aggiornamento di routine per il sensore Falcon sui sistemi Windows. Questo aggiornamento ha attivato un errore logico nel Channel File 291 (denominato “C-00000291.sys”). L’errore ha causato un arresto anomalo del sistema operativo, provocando la famigerata “schermata blu della morte” su milioni di dispositivi Windows.Tecnicamente, l’aggiornamento del sensore Falcon passa attraverso i cosiddetti “file di canale”. In questo caso, il Channel File 291 conteneva un errore che ha interrotto il normale dialogo tra i sistemi Windows e l’aggiornamento stesso. Ciò ha portato a un crash del sistema operativo, rendendo i dispositivi inutilizzabili.CrowdStrike ha identificato e corretto l’errore aggiornando il contenuto nel Channel File 291 alle 05:27 UTC. L’azienda ha poi fornito una procedura manuale per correggere il bug, che richiedeva l’intervento su ogni macchina coinvolta con credenziali di accesso amministrative locali.Microsoft ha stimato che l’incidente ha colpito circa 8,5 milioni di dispositivi Windows, meno dell’1% di tutte le macchine Windows attive.

Tecnicamente, l’intervento da remoto non era possibile per diverse ragioni:

1. Il bug causava un arresto anomalo del sistema operativo Windows, portando alla “schermata blu della morte” (BSOD). In questo stato, il sistema non è accessibile remotamente poiché non è in esecuzione.
2. Per risolvere il problema, era necessario accedere al sistema con privilegi di amministratore locale. Questi privilegi elevati non sono generalmente disponibili per connessioni remote per motivi di sicurezza.
3. Il processo di correzione richiedeva la modifica di file di sistema critici, in particolare il Channel File 291 (“C-00000291.sys”). Tali modifiche spesso richiedono l’accesso fisico al dispositivo per garantire l’integrità e la sicurezza del sistema.
4. Molti sistemi colpiti erano probabilmente protetti da firewall e altre misure di sicurezza che impediscono l’accesso remoto non autorizzato, specialmente in ambienti aziendali critici come aeroporti e banche.
5. La natura del bug impediva al software CrowdStrike di funzionare correttamente, rendendo impossibile l’utilizzo dei suoi normali canali di aggiornamento remoto.

Questi fattori combinati rendevano necessario un intervento manuale su ogni dispositivo colpito, richiedendo la presenza fisica di tecnici qualificati.