Cum s-a ajuns la Blue Screen of Death (BSOD) la scară globală

Am urmărit ieri, 19 iulie, incidentul global Blue Screen of Death (BSOD), care a provocat probleme de funcționare computerelor cu Windows, aparținând companiilor aeriene, băncilor, diverselor instituții și televiziuni. Incidentele au pornit de la o companie de securitate cibernetică numită CrowdStrike, cu sediul în Sunnyvale, California, Statele Unite. Am citit câteva știri și am vizionat mai multe clipuri video create de DW, BBC etc și mi s-a părut că lumea evită detaliile interesante pentru un pasionat de tehnologie.

Spre exemplu, CrowdStrike nu lucrează direct cu Microsoft, în sensul unei colaborări integrate, ci oferă soluții de securitate pentru companiile care utilizează sistemul de operare Windows. CrowdStrike Falcon este implementat de instituții și companii private pentru a proteja computerele, detectând și prevenind amenințările cibernetice pe sistemele Windows.

Deși inițial s-a crezut că problemele de ieri au fost cauzate de platforma cloud Microsoft Azure, numai companiile care au avut CrowdStrike ca furnizor de securitate cibernetică au fost afectate. Nici acestea toate, pentru că unele computere n-au făcut actualizarea. Acestea sunt informațiile pe care le avem în acest moment.

Cum s-a ajuns la acest Blue Screen of Death (BSOD) generalizat

Crowdstrike a publicat mai multe informări și pentru început o să rezum explicația lor despre incident.

Pe 19 iulie 2024, la ora 04:09 UTC (ora 07:09 în România), CrowdStrike a lansat o actualizare a configurației senzorului pentru sistemele Windows, parte din mecanismele de protecție ale platformei Falcon. Această actualizare a declanșat o eroare logică ce a dus la ecrane albastre (BSOD) și blocarea sistemelor afectate. Problema a fost remediată până la ora 05:27 UTC (ora 08:27 în România).

Actualizarea a afectat clienții online în intervalul menționat, care rulau versiunea Falcon 7.11 pentru Windows și cele ulterioare (7.13). Fișierul de configurare afectat, denumit „Channel File 291” (C-00000291-), controla modul în care Falcon evalua execuția named pipe, un mecanism de comunicare internă în Windows.

Fișierele de configurare, situate în C:\Windows\System32\drivers\CrowdStrike, au fost actualizate pentru a corecta eroarea logică. Sistemele Linux și macOS nu au fost afectate.

Ce înseamnă asta

• Potrivit Crowdstrike, problema a fost rezolvată într-o oră și 18 minute. De fapt, ei spun că doar în acest interval a fost trimisă actualizarea care a provocat Blue Screen of Death (BSOD).
• Actualizarea a afectat toate PC-urile cu sistem de operare Windows, care rulau senzorul din platforma Falcon, versiunea 7.11 și versiunile ulterioare.
• Fișierul de configurare afectat, denumit „Channel File 291” (C-00000291-), controla modul în care senzorul Falcon evalua execuția unui named pipe*. În acest caz, actualizarea configurării fișierului a conținut o eroare logică, ceea ce a dus la blocarea sistemelor afectate, cauzând erori de tip Blue Screen of Death (BSOD).

Cum se rezolvă eroarea cauzată de CrowdStrike

Crowdstrike a explicat cum se rezolvă problema creată de actualizarea senzorului din platforma Falcon 7.11 și ulterior:

• Reporniți sistemele pentru a permite descărcarea fișierului de configurare corectat (de la ora 05.27 UTC sau ulterior).
• Dacă sistemele continuă să se blocheze, porniți Windows în modul Safe Mode sau Windows Recovery Environment.
• Intrați în folderul CrowdStrike (de obicei, %WINDIR%\System32\drivers\CrowdStrike) și ștergeți fișierul „C-00000291*.sys” cu ora 04.09 UTC.
• Opriți complet și reporniți sistemul.

Pentru medii virtuale (mașini și rețele virtuale, containere) sau cloud:

1. Detașați volumul de disc al sistemului de operare afectat, creați un snapshot pentru backup, atașați volumul la un alt server virtual, ștergeți fișierul problematic și reatașați volumul fixat la serverul original.
2. Alternativ, faceți rollback la un snapshot realizat înainte de ora 04.09 UTC.

Scuzele Crowdstrike

George Kurtz, fondator și CEO al CrowdStrike, și-a cerut scuze pentru întreruperea cauzată de ”un defect” în actualizarea de conținut Falcon pentru sistemele Windows, subliniind că sistemele Mac și Linux nu au fost afectate și că nu a fost vorba de un atac cibernetic. El a asigurat că echipa CrowdStrike lucrează intens pentru a restabili toate sistemele afectate și a oferit angajamentul de a oferi transparență completă în legătură cu incidentul și măsurile luate pentru a preveni astfel de situații în viitor.

Ce am învățat din asta (probabil)

• Este esențial ca orice actualizare de software să fie testată temeinic înainte de lansare. Testarea ar trebui să includă scenarii diverse pentru a identifica posibile erori sau incompatibilități care ar putea afecta sistemele utilizatorilor.
• Că și companiile de securitate cibernetică pot greși grav.
• Cota de piață a Windows, de circa 70%, nu e întotdeauna un avantaj, deși în cazul de față Microsoft n-a greșit cu nimic.
• Că un eveniment asemănător e posibil oricând.

*Named pipes sunt canale de comunicare unidirecționale sau bidirecționale, utilizate pentru transferul de date între un server și unul sau mai mulți clienți. Toate instanțele unui named pipe împart același nume, dar au buffere și handle-uri separate, permițând comunicarea simultană între mai mulți clienți și server. Acestea facilitează comunicarea între procesele de pe același computer sau pe computere diferite dintr-o rețea, sub rezerva verificărilor de securitate.)