A versão mais recente do software Falcon Sensor deve proteger melhor os sistemas dos clientes CrowdStrike contra ataques de hackers, atualizando as ameaças contra as quais protege. Mas códigos defeituosos nos arquivos de atualização levaram a uma das maiores falhas técnicas dos últimos anos para empresas que usam o sistema operacional Windows, da Microsoft.
Bancos, companhias aéreas, hospitais e repartições governamentais em todo o mundo foram atingidos por perturbações. A CrowdStrike divulgou informações sobre como reparar os sistemas afetados, mas os especialistas disseram que levaria tempo para colocá-los online novamente porque o código defeituoso teria que ser eliminado manualmente.
“Parece que este arquivo pode ter sido perdido ou escapado do método de revisão ou sandbox que eles fazem ao analisar o código”, disse Steve Cobb, chefe de segurança do Security Scorecard, que também executa alguns dos problemas de sistemas afetados.
Os problemas ficaram aparentes rapidamente depois que a atualização foi lançada na sexta-feira. Os usuários postaram imagens de computadores com telas azuis e mensagens de erro nas redes sociais. Eles são conhecidos na indústria como “Telas Azuis da Morte”.
Patrick Wardle, pesquisador de segurança especializado em estudar ameaças a sistemas operacionais, disse que sua análise identificou o código responsável pela interrupção. O problema da atualização “está em um arquivo que contém informações de configuração ou assinaturas”, disse ele. Essas assinaturas são códigos que detectam certos tipos de código malicioso ou malware. “É muito comum que os produtos de segurança atualizem suas assinaturas, cerca de uma vez por dia… porque estão constantemente em busca de novos malwares e querem ter certeza de que seus clientes estão protegidos contra as ameaças mais recentes”, disse ele.
A frequência das atualizações “é provavelmente o motivo pelo qual (CrowdStrike) não o testou tão intensamente”, disse ele.
Não está claro como o código defeituoso entrou na atualização e por que não foi detectado antes de ser lançado aos clientes.
“Idealmente, isso teria sido disponibilizado inicialmente para um grupo limitado de usuários”, disse John Hammond, pesquisador sênior de segurança do Huntress Labs. “Esta é uma abordagem mais segura para evitar uma grande confusão como esta.”
Outras empresas de segurança tiveram incidentes semelhantes no passado. A falha na atualização do antivírus da McAfee em 2010 paralisou centenas de milhares de computadores.
Mas o impacto global desta interrupção reflete o domínio da CrowdStrike. Mais da metade das empresas da Fortune 500 e muitas agências governamentais, como a própria principal agência de segurança cibernética dos EUA, a Agência de Segurança Cibernética e de Infraestrutura, usam o software da empresa.
A versão mais recente do software Falcon Sensor deve proteger melhor os sistemas dos clientes CrowdStrike contra ataques de hackers, atualizando as ameaças contra as quais protege. Mas códigos defeituosos nos arquivos de atualização levaram a uma das maiores falhas técnicas dos últimos anos para empresas que usam o sistema operacional Windows, da Microsoft.
Bancos, companhias aéreas, hospitais e repartições governamentais em todo o mundo foram atingidos por perturbações. A CrowdStrike divulgou informações sobre como reparar os sistemas afetados, mas os especialistas disseram que levaria tempo para colocá-los online novamente porque o código defeituoso teria que ser eliminado manualmente.
“Parece que este arquivo pode ter sido perdido ou escapado do método de revisão ou sandbox que eles fazem ao analisar o código”, disse Steve Cobb, chefe de segurança do Security Scorecard, que também executa alguns dos problemas de sistemas afetados.
Os problemas ficaram aparentes rapidamente depois que a atualização foi lançada na sexta-feira. Os usuários postaram imagens de computadores com telas azuis e mensagens de erro nas redes sociais. Eles são conhecidos na indústria como “Telas Azuis da Morte”.
Patrick Wardle, pesquisador de segurança especializado em estudar ameaças a sistemas operacionais, disse que sua análise identificou o código responsável pela interrupção. O problema da atualização “está em um arquivo que contém informações de configuração ou assinaturas”, disse ele. Essas assinaturas são códigos que detectam certos tipos de código malicioso ou malware. “É muito comum que os produtos de segurança atualizem suas assinaturas, cerca de uma vez por dia… porque estão constantemente em busca de novos malwares e querem ter certeza de que seus clientes estão protegidos contra as ameaças mais recentes”, disse ele.
A frequência das atualizações “é provavelmente o motivo pelo qual (CrowdStrike) não o testou tão intensamente”, disse ele.
Não está claro como o código defeituoso entrou na atualização e por que não foi detectado antes de ser lançado aos clientes.
“Idealmente, isso teria sido disponibilizado inicialmente para um grupo limitado de usuários”, disse John Hammond, pesquisador sênior de segurança do Huntress Labs. “Esta é uma abordagem mais segura para evitar uma grande confusão como esta.”
Outras empresas de segurança tiveram incidentes semelhantes no passado. A falha na atualização do antivírus da McAfee em 2010 paralisou centenas de milhares de computadores.
Mas o impacto global desta interrupção reflete o domínio da CrowdStrike. Mais da metade das empresas da Fortune 500 e muitas agências governamentais, como a própria principal agência de segurança cibernética dos EUA, a Agência de Segurança Cibernética e de Infraestrutura, usam o software da empresa.
