CrowdStrike BSoD, o que aconteceu e como posso estar preparado?
No passado dia 19 de Julho, uma configuração defeituosa do agente CrowdStrike Falcon deixou milhares de sistemas Windows completamente inoperativos.
Quer saber o que ocorreu?
E, mais importante ainda, quer saber como poderia ter recuperado facilmente todos os seus sistemas Windows de forma remota?
A CrowdStrike Falcon
CrowdStrike é uma empresa líder em segurança a nível global e a fabricante de uma das plataformas de proteção contra malware mais vendidas no mundo. A sua plataforma CrowdStrike Falcon foi especialmente concebida para deter as violações de segurança mediante um conjunto unificado de tecnologias proporcionadas na nuvem a partir do seu serviço CrowdStrike Security Cloud. Esta plataforma inclui, entre outros módulos, um antivírus de última geração (NGAV) que conta com tecnologia de aprendizagem automática para detetar e prevenir ciberataques. O CrowdStrike contém vários módulos de produtos que abrangem vários aspetos, como a inteligência de ameaças, a deteção, a proteção e correção automática, etc., mas, para maior conveniência é implementado nos sistemas Windows mediante um só agente, conhecido como CrowdStrike Falcon Sensor.
No dia 19 de julho de 2024 às 04:09 UTC, como parte do funcionamento rotineiro, o CrowdStrike lançou uma atualização de configuração do CrowdStrike Falcon Sensor para sistemas Windows. As atualizações de configuração dos sensores são uma parte dos mecanismos de proteção da plataforma Falcon. Esta atualização de configuração desencadeou um erro lógico que provocou o bloqueio do sistema e um ecrã azul (BSoD) nos sistemas Windows afetados.
Pode ver o relatório preliminar do incidente aqui: Falcon Content Update Preliminary Post Incident Report | CrowdStrike
Uma análise pormenorizada pode ser consultada aqui: Windows Security best practices for integrating and managing security tools
BSoD
O termo “Blue Screen of Death” ou BSoD é um termo familiar que alude ao ecrã azul que resulta de uma falha catastrófica do sistema operativo Windows. Estes erros podem ser causados por problemas muito diversos, tanto de hardware como de software. O ecrã azul aparece quando o sistema Windows precisa de ajuda para poder recuperar de um erro do qual não se consegue recuperar por si mesmo. Quando vemos este ecrã azul, o sistema Windows não está a ser executado e, portanto, todos os meios habituais de recuperação remota baseados em aplicações sobre Windows são inúteis. Embora a Microsoft proporcione instruções de como um utilizador pode recuperar o seu computador a um estado anterior a que a falha tenha ocorrido, habitualmente num contexto corporativo, isso é responsabilidade do departamento de sistemas, que deve aceder fisicamente ao computador para iniciá-lo em modo seguro, diagnosticar a falha e reparar o sistema Windows. Logicamente, este é um procedimento que só é razoável quando um único computador ou apenas alguns computadores falharam simultaneamente.
Recuperação perante desastres
O conceito de recuperação face a desastres (DisDisaster Recovery.) faz referência ao processo de recuperação perante uma contingência massiva (um desastre) e costuma incluir protocolos de atuação para poder recuperar funcionalidades e dados dos sistemas afetados no menor tempo possível. As contingências previstas nos planos de recuperação costumam incluir elementos naturais como incêndios ou terramotos, acidentais como a perda de fornecimento elétrico ou situações provocadas, como é o caso dos ciberataques.
As consequências perante a interrupção dos sistemas críticos de uma empresa podem variar dependendo de diversos fatores, mas incluem sempre perdas económicas derivadas da inatividade total ou parcial da empresa durante um certo período e/ou da impossibilidade de recuperar dados críticos para o negócio.
No caso da situação provocada pelo incidente de CrowdStrike, a maioria dos protocolos de recuperação não soube gerir adequadamente a recuperação de milhares de sistemas Windows afetados, porque a ocorrência simultânea destes BSoD não é uma circunstância habitual. Dependendo da arquitetura informática de cada empresa, o nível de afetação do negócio pode ter ido desde uma inconveniência até um incidente catastrófico.
A ferramenta de que as empresas mais afetadas carecem é uma plataforma de recuperação remota e massiva de computadores Windows em estado BSoD, tal como a solução resQit da GMV. Esta solução costuma ser utilizada como ferramenta para melhorar a eficiência nas recuperações ordinárias dos sistemas Windows que falham, ao permitir um mecanismo remoto que costuma ser importante nos contextos distribuídos e de teletrabalho que abundam hoje em dia. No entanto, no caso de um incidente massivo como o ocorrido no caso do CrowdStrike, esta plataforma pode poupar centenas de milhares ou mesmo milhões de euros ao permitir um cenário de recuperação num tempo mínimo que é inviável sem uma ferramenta desta natureza.
