Cosa c’entra Microsoft con down e guasti a trasporti aerei e banche e cosa sta succedendo con CrowdStrike
Venerdì 19 luglio 2024 si è scatenato il caos a livello globale a causa del crollo di sistemi di telecomunicazioni e pagamenti, accompagnato dal blocco di aerei, treni, supermercati, ospedali, banche, servizi di emergenza e altre infrastrutture critiche in tutto il mondo. I problemi sono stati legati all'aggiornamento buggato di una suite di sicurezza (un antivirus) dell'azienda di cybersecurity CrowdStrike, installata nei PC con sistema operativo Windows di Microsoft (quelli coinvolti dal crash) di migliaia di aziende, comprese grandi compagnie del pubblico e privato.
Segnalazioni di guasti, mezzi di trasporto fermi, impossibilità di procedere con operazioni bancarie e altre attività nevralgiche legate al settore IT si sono susseguite per tutto il giorno da Sydney a New York, attraversando tutta l'Europa e l'Asia. Il portale Downdetector ha evidenziato problemi di connessione a una moltitudine di servizi, dagli store online ai portali delle compagnie aeree. Anche i siti di scommesse e giochi online sono stati abbattuti. Sono state registrate persino interruzioni al servizio 911 (il numero di emergenza negli Stati Uniti) e al canale Sky News nel Regno Unito, finito temporaneamente offline.
Come specificato dalla BBC, in Germania due ospedali hanno cancellato i servizi d'assistenza non essenziali, mentre in Francia sono stati colpiti i sistemi informatici legati all'organizzazione delle Olimpiadi di Parigi. In Italia è invece andato offline Spid, il sistema di identità digitale; ciò ha impedito l'accesso a tutti i portali della pubblica amministrazione per cui è necessario. Il professor Stefano Zanero, docente di Ingegneria informatica al Politecnico di Milano, ha spiegato a Fanpage.it i rischi di un fenomeno così globale.
I problemi legati a un bug nell'aggiornamento dell'antivirus CrowdStrike
Inizialmente si era parlato di un significativo problema alla piattaforma di cloud computing di Microsoft “Azure”, tuttavia, come specificato, la causa principale del collasso informatico globale sarebbe legata all'aggiornamento del software antivirus “Falcon Sensor” dell'azienda texana CrowdStrike. Si tratta del cuore pulsante della suite di sicurezza della società, che ha l'obiettivo di monitorare, intercettare e prevenire attacchi informatici (virus, ransomware, spyware etc etc) nei PC in cui è installato, sia di privati che di aziende.
A seguito di questo aggiornamento "maligno" migliaia di PC con sistema Windows e server in tutto il mondo sarebbero crashati, facendo comparire il famigerato “schermo blu della morte” (Blue Screen of Death – BSOD). È un messaggio di diagnostica che può manifestarsi a seguito di problemi critici con hardware e software, che impediscono il corretto funzionamento del computer. Più nello specifico, il bug dell'aggiornamento di Falcon Sensor sembra essere legato al driver csagent.sys, come indicato da Tech Issues Today. Tra i messaggi di errore segnalati dagli utenti sui social network figurano i seguenti: "PAGE_FAULT_IN_NON_PAGED_AREA", "CRITICAL_PROCESS_DIED" e SYSTEM_THREAD_EXCEPETION_NOT_HANDLED". Intere piccole aziende hanno dovuto arrestare le proprie attività.
Cos'è lo schermo blu della morte: le soluzioni temporanee per riavviare Windows
“Siamo a conoscenza di un problema diffuso che causa errori BSOD su macchine Windows su varie versioni di sensors”, aveva dichiarato un portavoce di CrowdStrike sul forum dell'azienda. In questo caso, come indicato, lo “schermo blu della morte” sarebbe partito da un aggiornamento con bug critico nel diffuso software antivirus della società, in grado di buttare giù in poco tempo un numero enorme di computer in tutto il pianeta. Il crash dei server è sfociato in una cascata di disservizi e down dei portali delle aziende protette da Falcon Sensor. Particolarmente gravi i disagi nel settore dei trasporti, con la cancellazione di oltre 1000 voli. Un comandante di volo ha spiegato a Fanpage.it come mai un errore informatico può essere così catastrofico per il trasporto aereo.
Sebbene l'aggiornamento buggato sia stato rapidamente ritirato da Crowdstrike, ci sono volute molte ore prima di avere a disposizione una risoluzione definitiva per i PC e i server già colpiti dal crash. In mattinata era stata indicata una soluzione temporanea dall'azienda stessa, riportata anche sul The Sydney Morning Herald. Qui di seguito la procedura da eseguire nel caso in cui si fossero riscontrati dei problemi:
“Avviare Windows in modalità provvisoria o nell'ambiente di ripristino di Windows (premere il tasto F8 prima che il logo di Windows compaia sullo schermo).
Passare alla directory C:\Windows\System32\drivers\Crowdstrike.
Individuare il file corrispondente al file "C-00000291*.sys", fare clic con il pulsante destro del mouse e rinominarlo in "C-00000291*.renamed".
Eseguire il normale avvio del computer”.
Su Reddit sono state segnalate anche diverse altre procedure alternative; fra esse c'è quella indicata dall'utente MajorMaxdom, che punta a colpire direttamente proprio il driver incriminato csagent.sys:
"Avviare in modalità provvisoria, andare nel registro e modificare la seguente chiave: HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Inizia da 1 a 4. Questo disabilita il caricamento di csagent.sys". L'utente ha aggiunto di sperare che le macchine "si riavviino". Sicuramente un approccio migliore di continuare a riavviare ripetutamente il computer nella speranza di agganciare l'aggiornamento senza il bug.
Sebbene sia stata fornita una risoluzione definitiva al problema, il crollo di un numero così significativo di servizi informatici critici continua a determinare disservizi in una moltitudine di settori. Gli effetti continueranno a farsi sentire per tutto il weekend del 20 e 21 luglio e probabilmente anche oltre.
Tra i Paesi più colpiti dal crash globale l'Australia e il Regno Unito, dove sono stati registrati numerosi voli e treni cancellati, oltre all'accumulo di ritardi significativi. La "terra dei canguri" è stata la prima a essere interessata dai disservizi, con i primi crash rilevati al mattino, tra l'1 e le 2 di notte in Italia. La National Pharmacy Association del Regno Unito ha dichiarato che sono stati bloccati anche gli accessi alle prescrizioni dei medici di base e le consegne dei medicinali, con possibili problemi anche nelle farmacie.
