Bancos globais, companhias aéreas, hospitais e escritórios governamentais foram afetados. CrowdStrike divulgou informações sobre como consertar sistemas afetados. Mas colocá-los online novamente levará tempo, dizem os especialistas, pois eles terão que eliminar manualmente o código defeituoso.
“Quando você olha para o código e parece que os testes ou sandboxing que eles estão fazendo, talvez de alguma forma esse arquivo não tenha sido incluído ou escapado”, disse Steve Cobb, diretor de segurança do Security Scorecard. Alguns sistemas afetados pelo problema.
Os problemas vieram à tona rapidamente após o lançamento da atualização de sexta-feira, e os usuários postaram fotos nas redes sociais de computadores com telas azuis exibindo mensagens de erro. Estas são conhecidas na indústria como “telas azuis da morte”.
Patrick Wardle, analista de segurança especializado em estudar ameaças contra sistemas operacionais, disse que sua análise identificou o código responsável pela falha.
Ele disse que o problema com a atualização estava “em um arquivo contendo informações de configuração ou assinaturas”. Essas assinaturas são códigos que identificam tipos específicos de código malicioso ou malware.
“É muito comum que os produtos de segurança atualizem suas assinaturas uma vez por dia… porque monitoram constantemente novos malwares e querem garantir que seus clientes estejam protegidos contra as ameaças mais recentes”, disse ele.
A frequência das atualizações é “provavelmente a razão pela qual (CrowdStrike) não testou”, disse ele.
Não está claro como esse código defeituoso entrou na atualização e por que não foi detectado antes de ser lançado aos clientes.
“Simplesmente, ele teria sido liberado primeiro para um pool limitado”, disse John Hammond, principal pesquisador de segurança do Huntress Labs. “É uma abordagem segura para evitar uma grande confusão como essa”.
Outras empresas de segurança tiveram episódios semelhantes no passado. Em 2010, a atualização fracassada do antivírus da McAfee desativou centenas de milhares de computadores.
Mas o impacto global desta interrupção reflete o domínio da CrowdStrike. Mais de metade das empresas Fortune 500 e diversas agências governamentais, como a principal agência de segurança cibernética dos Estados Unidos, a Cybersecurity and Infrastructure Security Agency, utilizam o software da empresa.
