Publicidade
A Crowdstrike divulgou nesta quarta-feira (24) um relatório explicando o que levou ao apagão cibernético da última sexta-feira (19). O problema se originou em uma atualização do mecanismo de proteção dinâmica chamado Falcon, com impacto direto em máquinas que utilizam o sistema operacional Windows.
Às 7h09 da sexta-feira (no horário de Brasília), a empresa liberou uma atualização de configuração de conteúdo “como parte das operações regulares” da plataforma Falcon, desenvolvida para proteger endpoints (ou pontos de extremidade, como computadores ou telefones) contra ameaças cibernéticas. A atualização serviria para coletar dados sobre possíveis novas técnicas de ameaça. O resultado, no entanto, foi diferente do esperado.
Já pela manhã daquele dia, consumidores reclamavam de paralisações em companhias aéreas, bancos e serviços de saúde, enquanto empresas confirmavam os danos em seus sistemas. Segundo a empresa, o defeito na atualização teria sido revertido ainda na sexta-feira, às 8h27.
O que aconteceu entre o protocolo padrão da plataforma Falcon e o caos que tomou os os sistemas foi uma falha em um de dois tipos de atualização feitos pela CrowdStrike: o Rapid Response Content (ou conteúdo de resposta rápida, em tradução livre).
Segundo a empresa, esse mecanismo é utilizado para “realizar uma variedade de operações de correspondência de padrões comportamentais no sensor usando um mecanismo altamente otimizado. O Conteúdo de Resposta Rápida é uma representação de campos e valores, com filtragem associada”.
Em fevereiro e março deste ano, uma nova versão do sistema que incluía um tipo de modelo para detectar técnicas de ataque cibernético chamado InterProcessCommunication (IPC) vinha sendo testado e validado. De acordo com a companhia, inclusive teria passado por testes de estresse, usados para garantir a estabilidade de um software.
Continua depois da publicidade
“Em 19 de julho de 2024, duas instâncias de modelo IPC adicionais foram implantadas. Devido a um bug no validador de conteúdo, uma das duas Instâncias de Modelo passou na validação apesar de conter dados de conteúdo problemáticos”, diz a empresa no relatório. “Com base nos testes realizados antes da implantação inicial do tipo de modelo (em 05 de março de 2024), na confiança nas verificações realizadas no validador de conteúdo e nas implantações anteriores bem-sucedidas da instância de modelo IPC, essas instâncias foram implantadas na produção.”
O conteúdo problemático levou a uma leitura incorreta de memória, uma “exceção inesperada que não pôde ser tratada normalmente, resultando em uma falha do sistema operacional Windows”.
Ao todo, 8,5 milhões de aparelhos com Windows foram afetados pelo bug, disse a Microsoft no último sábado (20). O número é o equivalente a menos de 1% de todas as máquinas que usam o sistema operacional. No dia do incidente, no entanto, sistemas demoraram a se normalizar enquanto empresas ainda tentavam entender como recuperar as máquinas atingidas pela “tela azul da morte”.
