Cosa c’entra Microsoft con down e guasti a trasporti aerei e banche e cosa sta succedendo con CrowdStrike
La mattina di venerdì 19 luglio 2024 (ora italiana) si è scatenato il caos a livello globale a causa del crollo di sistemi di telecomunicazioni e pagamenti, oltre al blocco di aerei, treni, supermercati, ospedali e altre infrastrutture critiche in tutto il mondo. I problemi sarebbero legati all'aggiornamento buggato di un antivirus dell'azienda di cybersicurezza CrowdStrike, utilizzato da migliaia di aziende e grandi compagnie nei PC con sistema operativo Windows (quelli coinvolti dal crash). Segnalazioni di guasti, mezzi di trasporto fermi, impossibilità di procedere a operazioni bancarie e altre attività nevralgiche legate al settore IT vanno da Sydney a New York, attraversando tutta l'Europa e l'Asia. Il portale Downdetector ha evidenziato problemi di connessione a una moltitudine di servizi, dagli store online alle compagnie aeree. Anche i siti di scommesse e giochi online sono stati abbattuti. Si registrano persino interruzioni al servizio 911 (il numero di emergenza negli Stati Uniti) e al canale Sky News nel Regno Unito, finito temporaneamente offline. Come specificato dalla BBC, in Germania due ospedali hanno cancellato i servizi d'assistenza non essenziali e in Francia sono stati colpiti i sistemi informatici legati all'organizzazione delle Olimpiadi di Parigi.
I problemi legati a un bug nell'aggiornamento dell'antivirus CrowdStrike
Sebbene inizialmente si era parlato di un significativo problema alla piattaforma di cloud computing di Microsoft “Azure”, la causa principale del collasso informatico globale sarebbe legato all'aggiornamento del software antivirus “Falcon Sensor” dell'azienda texana CrowdStrike. Si tratta del cuore pulsante della suite di sicurezza della società, che ha l'obiettivo di monitorare, intercettare e prevenire attacchi informatici (virus, ransomware, spyware etc etc) nei PC in cui è installato, sia di privati che di aziende.
A seguito di questo aggiornamento maligno migliaia di PC con sistema Windows e server in tutto il mondo sarebbero andati offline a causa del famigerato “schermo blu della morte” (Blue Screen of Death – BSOD), un messaggio di diagnostica che può comparire a seguito di problemi con hardware e software. Più nello specifico, il bug dell'aggiornamento sembra essere legato al driver csagent.sys, come indicato da Tech Issues Today. Tra i messaggi di errore segnalati dagli utenti figurano i seguenti: "PAGE_FAULT_IN_NON_PAGED_AREA", "CRITICAL_PROCESS_DIED" e SYSTEM_THREAD_EXCEPETION_NOT_HANDLED".
Cos'è lo schermo blu della morte: le soluzioni temporanee per riavviare Windows
“Siamo a conoscenza di un problema diffuso che causa errori BSOD su macchine Windows su varie versioni di sensori”, ha dichiarato un portavoce di CrowdStrike sul forum dell'azienda. In questo caso, come indicato, lo “schermo blu della morte” sarebbe proprio legato a un aggiornamento buggato del diffuso software antivirus, in grado di buttare giù in poco tempo un numero enorme di infrastrutture informatiche in tutto il pianeta. Sebbene tale aggiornamento sia stato già ritirato da Crowdstrike, non è stato risolto il problema ai PC e ai server già colpiti. Tuttavia, è stata indicata una soluzione temporanea dall'azienda stessa, riportata anche sul The Sydney Morning Herald. Qui di seguito la procedura da eseguire nel caso in cui si fossero riscontrati dei problemi:
“Avviare Windows in modalità provvisoria o nell'ambiente di ripristino di Windows (puoi farlo tenendo premuto il tasto F8 prima che il logo di Windows compaia sullo schermo). Passare alla directory C:\Windows\System32\drivers\Crowdstrike. Individuare il file corrispondente al file "C-00000291*.sys", fare clic con il pulsante destro del mouse e rinominarlo in "C-00000291*.renamed". Eseguire il normale avvio dell'host”.
Su Reddit sono state segnalate anche diverse altre soluzioni alternative; fra esse c'è quella indicata dall'utente MajorMaxdom, che punta a colpire direttamente proprio il driver incriminato csagent.sys:
"Avviare in modalità provvisoria, andare nel registro e modificare la seguente chiave: HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Inizia da 1 a 4. Questo disabilita il caricamento di csagent.sys". L'utente ha aggiunto di sperare che le macchine "si riavviino".
Come indicato, quella segnalata da CrowdStrike e le proposte dei singoli utenti sui portali specializzati sono soluzioni temporanee al problema, che continua a determinare disservizi in una moltitudine di settori. Si resta in attesa della pubblicazione dell'aggiornamento dell'antivirus Falcon Sensor ripulito dal bug che ha fatto crollare i sistemi informatici di mezzo mondo. Al momento tra i Paesi più colpiti ci sono l'Australia e il Regno Unito, con numerosi voli e treni cancellati, oltre a ritardi significativi accumulati. La National Pharmacy Association del Regno Unito ha dichiarato che sono bloccati anche gli accessi alle prescrizioni dei medici di base e le consegne dei medicinali, pertanto possono verificarsi problemi recandosi in farmacia.
