O ‘apagão cibernético’ do dia 19/07foi global. E pode acontecer de novo.
Causado por um defeito de atualização de um software da empresa de segurança Crowdstrike, o colapso bloqueou máquinas que operam com Microsoft Windows incluindo companhia aéreas e aeroportos, hospitais, meios de comunicação e indústrias de toda ordem: quanto mais interconectado, mais vulnerável o computador.
O impacto é incalculável; menos para a Crowdstrike cujo valor de mercado caiu 18%, US$50bilhões, só na sexta do apagão.
O que aconteceu: a CrowdStrike lançou uma atualização defeituosa para os milhões de PCs em todo o mundo que executam o Falcon Sensor. Essa atualização era um “Channel File” cuja função era identificar atividades maliciosas recém-observadas. Embora o arquivo de atualização tivesse uma extensão .sys, ele não era um driver de kernel. Ele se comunica com outros componentes do sensor Falcon que são executados no mesmo espaço que o kernel do Windows, o nível mais privilegiado em um PC com Windows, onde interagem diretamente com a memória e o hardware. A CrowdStrike afirmou que um “erro de lógica” nesse código fez com que PCs e servidores Windows travassem após a inicialização, exibindo um erro coloquialmente conhecido como Tela Azul da Morte (BSOD).
Reparar os danos de uma falha dessa requer a reinicialização manual de cada PC afetado no Ambiente de Recuperação do Windows para excluir o arquivo defeituoso. Se o PC em questão tiver sua unidade de sistema protegida pelo software de criptografia BitLocker da Microsoft, a correção requer uma etapa a mais: inserir uma chave de recuperação exclusiva do BitLocker de 48 caracteres para obter acesso à unidade e permitir a remoção do driver CrowdStrike defeituoso. (veja aqui)
Há 14 anos contudo, aconteceu algo semelhante: a McAfee entregou um arquivo de definição de vírus (DAT) defeituoso para computadores que executavam o Windows XP. Esse arquivo detectou falsamente um arquivo crucial do Windows, Svchost.exe, como um vírus e o excluiu, fazendo com que os sistemas afetados entrassem em um loop de reinicialização, perdendo todo o acesso à rede. Detalhe: o fundador e CEO da CrowdStrike, George Kurtz, era diretor de tecnologia da McAfee durante o incidente de 2010.
Acompanhe aqui nosso amigo Guilherme Neves sobre Cybersegurança!