Down di Crowdstrike: 8,5 milioni di macchine Windows coinvolte

Microsoft ha stimato che l’1% dei sistemi Windows installati è rimasto bloccato durante il problematico aggiornamento del software Edr Falcon.

Image by DilokaStudio on Freepik

Nuovi dettagli sull’affare Crowdstrike, cioè sul “down” globale, innescato da un aggiornamento del software di sicurezza Falcon, che tra giovedì notte e venerdì scorso ha causato disservizi nel mondo dei trasporti aerei soprattutto ma anche per treni, banche, ospedali, emittenti televisive, tra Nordamerica, Europa e Oceania. Microsoft è parte in causa, perché il problematico aggiornamento del software di rilevamento e blocco delle minacce Crowdstrike Falcon ha provocato il blocco (con la comparsa del famigerato “blue screen”) di numerosi sistemi Windows in mezzo mondo.

Quanti? “Attualmente stimiamo che l’aggiornamento di Crowdstrike abbia colpito 8,5 milioni di dispositivi Windows ovvero meno dell’1% del totale delle macchine Windows”, ha fatto sapere l’azienda di Redmond. “Nonostante sia una piccola percentuale, l’ampiezza degli impatti economici e sociali riflette l’uso di Crowdstrike da parte di aziende che erogano molti servizi critici”.

La maggior parte degli 8,5 milioni di sistemi Windows impattati è tornata a funzionare regolarmente. Microsoft ora sta collaborando con Crowdstrike per risolvere il problema tramite Azure, e inoltre sta condividendo le informazioni in suo possesso con i concorrenti Amazon Web Services e Google Cloud Platform.

Gli aggiornamenti software sono un meccanismo di routine frequente per programmi di sicurezza Edr (Endpoint Detection and Response) come Crowdstrike Falcon, che lavorano anche sull’analisi delle signature e delle minacce note in circolazione. La frequenze e la completezza degli update sono fondamentali per l’efficacia di questi programmi. Come riportato da Reuters, esperti di sicurezza ipotizzano che il problema sia stato causato dalla presenza di “codice fallato” all’interno del pacchetto dell’update, quindi da un controllo qualità non bene eseguito.

Secondo Steve Cobb, chief security officer di Security Scorecard, un file sarebbe sfuggito alle operazioni di controllo o sandboxing che normalmente vengono eseguite prima di un rilascio. Patrick Wardle, ricercatore di sicurezza specializzato in minacce rivolte ai sistemi operativi, sostiene di aver identificato il frammento di codice responsabile: si tratterebbe di un file contenente informazioni di configurazione oppure signature.

https://www.ictbusiness.it/news/down-di-crowdstrike-85-milioni-di-macchine-windows-coinvolte.aspx