Microsoft è coinvolta in un gigantesco disservizio di dimensioni mondiali per colpa di un errore che causa BSoD sui dispositivi coinvolti.
26 LUGLIO 2024 | A distanza di una settimana esatta dall’accaduto, è il CEO in persona a far sapere che la situazione è praticamente risolta con una stima che il 97 % dei sistemi Windows colpiti sono stati ripristinati e tornati regolarmente online.
Voglio condividere che oltre il 97 % dei sensori Windows è tornato online a partire dal 25 luglio.
Nel frattempo, anche Microsoft ha voluto far sapere di aver fatto prova di resilienza con un intervento tempestivo e continuo per aiutare i clienti e promette di migliorare ulteriormente l’ecosistema Windows – a questo proposito ha pubblicato alcune linee guida da seguire in caso di incidenti simili.
Abbiamo coinvolto oltre 5.000 tecnici di supporto che lavorano 24 ore su 24, 7 giorni su 7 per aiutare a riportare online i servizi critici.
Questo incidente dimostra chiaramente che Windows deve dare priorità al cambiamento e all’innovazione nell’area della resilienza end-to-end.
23 LUGLIO 2024 | Microsoft ha pubblicato nelle scorse ore ulteriori soluzioni per risolvere i problemi sui client e server Windows generati dall’errore dell’aggiornamento di configurazione di CrowdStrike – trovate maggiori dettagli nell’articolo aggiornato in basso.
22 LUGLIO 2024 | Dopo il polverone alzato durante il weekend e una situazione che sta tornando alla normalità, la vicenda si allarga su fatti che vanno aldilà dell’accaduto. Secondo un report del WSJ, Microsoft avrebbe puntato il dito contro l’UE tra le cause della vicenda CrowdStrike per averla obbligata negli ultimi ad aprire troppo Windows agli sviluppatori di terze parti, concedendo l’accesso ad alcune API in nome della protezione contro la concorrenza sleale. Secondo Microsoft tutta questa libertà di accesso sarebbe responsabile di avvenimenti come quello dei giorni scorsi.
Un accordo del 2009 con la Commissione Europea è il motivo per cui Microsoft non può bloccare ulteriormente il suo sistema operativo per aumentarne la sicurezza.
Nel frattempo anche gli hacker non hanno perso tempo e stanno già sfruttando il caos creato dalla vicenda CrowdStrike a loro favore per diffondere malware. Secondo i report, nelle ultime ore sono già in atto campagne di phishing con falsi tool con eseguibili malevoli per “correggere” i problemi causati nei giorni scorsi.
21 LUGLIO 2024 | A 48 ore dall’accaduto, CrowdStrike ha spiegato nel dettaglio cosa è successo e in particolare come un singolo aggiornamento di un file di configurazione abbia causato così tanto caos nel mondo.
Il 19 luglio 2024 alle 04:09 UTC, come parte delle operazioni in corso, CrowdStrike ha rilasciato un aggiornamento della configurazione del sensore per i sistemi Windows. Gli aggiornamenti della configurazione del sensore sono una parte continua dei meccanismi di protezione della piattaforma Falcon. Questo aggiornamento della configurazione ha attivato un errore logico che ha causato un crash del sistema e una schermata blu (BSOD) sui sistemi interessati.
A questo proposito Microsoft ha pubblicato le sue stime sul numero di sistemi colpiti, stimando un impatto su circa 8,5 milioni di device Windows colpiti in gran parte aziende e servizi, un numero elevato ma che rappresenta solo l’1 % del totale del mercato del sistema operativo.
Sebbene gli aggiornamenti software possano occasionalmente causare disturbi, incidenti significativi come l’evento CrowdStrike sono poco frequenti. Attualmente stimiamo che l’aggiornamento di CrowdStrike abbia interessato 8,5 milioni di dispositivi Windows, ovvero meno dell’uno percento di tutte le macchine Windows. Sebbene la percentuale fosse piccola, gli impatti economici e sociali generali riflettono l’uso di CrowdStrike da parte di aziende che gestiscono molti servizi critici.
Inoltre, per aiutare i sistemi coinvolti Microsoft ha rilasciato un tool di recupero per automatizzare per aiutare a correggere le macchine colpite – trovate il link per il download e le istruzioni a questo indirizzo.
CrowdStrike causa BSoD a milioni di PC
Un bug nell’ultimo aggiornamento di un componente del servizio CrowdStrike sta mettendo in crisi aziende, banche, compagnie aree, emittenti TV in tutto il mondo causando enormi disservizi e in particolare mandando in crash milioni di PC e server con la comparsa della classica Blue Screen of Death, altresì schermata blu di Windows. Il CEO di CrowdStrike ha già rassicurato che l’accaduto non è stato causato da hacker o altri problemi di sicurezza e ha già trovato una soluzione per tornare a una situazione normale.
CrowdStrike sta lavorando attivamente con i clienti interessati da un difetto riscontrato in un singolo aggiornamento dei contenuti per gli host Windows. Gli host Mac e Linux non sono interessati. Questo non è un incidente di sicurezza o un attacco informatico. Il problema è stato identificato, isolato ed è stata implementata una soluzione. Rimandiamo i clienti al portale di supporto per gli ultimi aggiornamenti e continueremo a fornire aggiornamenti completi e continui sul nostro sito web. Consigliamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso canali ufficiali. Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike.
Dal canto suo, Microsoft, anch’essa vittima della situazione creatasi, ha fatto sapere che è al corrente della situazione e sta lavorando per supportare i propri utenti. A questo proposito, nel frattempo, nel caso foste affetti da questi problemi, è possibile risolvere il bug con un workaround che consiste nell’eliminare il componente buggato responsabile del crash di sistema. Secondo i report in alcuni casi è “bastato” riavviare il sistema per 15 volte per risolvere il problema. Di seguito trovate un elenco aggiornato con tutte le soluzioni rilasciate da Microsoft.
Microsoft ha identificato un problema che ha un impatto sugli endpoint Windows che eseguono l’agente CrowdStrike Falcon. Questi endpoint potrebbero riscontrare un messaggio di errore su una schermata blu e sperimentare uno stato di riavvio continuo.
Abbiamo ricevuto segnalazioni di ripristini riusciti da alcuni clienti che hanno tentato più operazioni di riavvio sugli endpoint Windows interessati.
Per attenuare questo problema, segui questi passaggi:
- Avviare Windows in modalità provvisoria o in Ambiente ripristino Windows.
- Passare alla directory C:\Windows\System32\drivers\CrowdStrike
- Individuare il file corrispondente a “C-00000291*.sys” ed eliminarlo.
- Riavviare il dispositivo.
- In alcuni casi il ripristino dei sistemi richiede una chiave Bitlocker.
Per le macchine virtuali Windows in esecuzione su Azure, seguire i passaggi di mitigazione nello stato di Azure.
Aggiornamento 1: ora disponibile un nuovo articolo della Knowledge Base, KB5042421, con ulteriori istruzioni dettagliate. Continueremo a collaborare con CrowdStrike per fornire informazioni di mitigazione aggiornate non appena disponibili.
Aggiornamento 2: Microsoft ha rilasciato KB5042426, che contiene una guida dettagliata per i server Windows ospitati in locale che eseguono l’agente CrowdStrike Falcon e riscontrano un messaggio di errore 0x50 o 0x7E su una schermata blu. Continueremo a collaborare con CrowdStrike per fornire le informazioni più aggiornate disponibili su questo problema.È disponibile un nuovo strumento di ripristino USB per aiutare gli amministratori IT a velocizzare il processo di riparazione. Il nuovo strumento può essere trovato nel Microsoft Download Center. Leggi di più sul nuovo strumento di ripristino e sulle istruzioni per l’uso su Nuovo strumento di ripristino per aiutare con il problema CrowdStrike che ha un impatto sugli endpoint Windows.Aggiornamento 3: Microsoft ha rilasciato una terza opzione di mitigazione per il problema dell’agente CrowdStrike Falcon che ha un impatto sui client e server Windows. Se i dispositivi non sono in grado di ripristinare con le due opzioni precedenti, gli amministratori IT possono utilizzare PXE per risolvere il problema. Consulta il nuovo strumento di ripristino rivisto per risolvere il problema CrowdStrike che ha un impatto sugli endpoint Windows per istruzioni dettagliate sui prerequisiti e sulle configurazioni per utilizzare PXE Recovery.Aggiornamento 4: in seguito al problema dell’agente CrowdStrike Falcon che ha avuto un impatto sui client e server Windows, Microsoft ha rilasciato uno strumento di ripristino aggiornato con due opzioni di riparazione per aiutare gli amministratori IT a velocizzare il processo di riparazione. In base al feedback dei clienti, questa nuova versione include una nuova opzione per il ripristino tramite avvio sicuro, l’opzione per generare ISO o USB, una correzione per il rilevamento di ADK quando è installato Windows Driver Kit e una correzione per il controllo delle dimensioni del disco USB. Consulta il nuovo strumento di ripristino rivisto per risolvere il problema CrowdStrike che ha avuto un impatto sugli endpoint Windows per istruzioni dettagliate sull’utilizzo dello strumento di ripristino Microsoft firmato.
Aggiornamento 5: Microsoft ha rilasciato ulteriori indicazioni sulla resilienza di Windows: Best practice e percorso da seguire. Scopri di più su come stiamo lavorando in stretta collaborazione per migliorare la resilienza nell’ecosistema Windows ed esplora le best practice che puoi utilizzare per supportare la resilienza nella tua organizzazione.
Per gli utenti finali è bene tenere a mente che dopo un tale episodio su scala globale, la propagazione dei correttivi necessiterà sicuramente di alcune ore o addirittura giorni per ripristinare la situazione e tornare alla normalità.
Cosa ne pensate di questo gigantesco disservizio? Avete riscontrato problemi durante la giornata? Ditecelo nei commenti.
Articolo di Windows Blog Italia
Fonte | CrowdStrike