Cosa è successo?
Il 19 luglio 2024, un significativo blackout informatico ha causato importanti disservizi in tutto il mondo. Questo incidente ha colpito migliaia di imprese a livello globale, dalle piccole aziende fino agli enti più grandi, causando l’arresto di servizi critici e portando a significativi ritardi operativi e perdite finanziarie.
A scatenare il blackout non è stato un attacco informatico, bensì un malfunzionamento avvenuto sui sistemi Windows e causato da un particolare strumento di sicurezza, il CrowdStrike Falcon.
Chi è CrowdStrike?
CrowdStrike è una società di cybersecurity americana fondata nel 2011, nota per la sua piattaforma cloud-based Falcon, che utilizza intelligenza artificiale e analisi comportamentale per rilevare e prevenire minacce informatiche. Da anni leader di mercato, CrowdStrike è stata anche indicata nel 2023 da Gartner, azienda di riferimento in ambito consulenza strategica, come la compagnia statunitense leader nel settore EDR, posizionandola avanti a tutti nel suo Magic Quadrant.
Come funziona l’EDR Falcon
Il Falcon è uno strumento di sicurezza avanzato di tipo Endpoint Detection and Response (EDR) e si occupa di monitorare tutti gli eventi che avvengono sia sulle workstation che sui server, al fine di identificare e prevenire attacchi informatici complessi.
Per rilevare anche le minacce più recenti, questo strumento scarica continuamente aggiornamenti dal Cloud CrowdStrike, sotto forma di file binari detti Channel File (CF). I CF contengono le configurazioni che il Falcon può utilizzare per identificare una specifica minaccia. Queste includono pattern e firme che lo strumento impiega per riconoscere i diversi tipi di attacchi.
Gli aggiornamenti, prima di essere resi disponibili, sono validati dal componente Content Validator, che controlla ed analizza il contenuto in cerca di possibili errori.
Una volta scaricati i CF, il Falcon utilizza un componente specifico (Content Interpreter, CI) per interpretare le istruzioni di configurazione e gestire eventuali errori contenuti all’interno del CF. Questi due componenti, a dire dello stesso vendor, sono stati i responsabili del catastrofico incidente.
Dinamica dell’incidente
Nella mattina del 19 luglio, a partire dalle ore 04:09 UTC i milioni di dispositivi Windows con la versione 7.11+ di Falcon a bordo hanno potuto scaricare il CF 291, il cui nome è diventato presto famoso “C-00000291-“.
A causa di un bug presente sul Content Validator, il file ha infatti superato con successo il processo di validazione nonostante i dati contenessero delle problematiche.
Il file corrotto ricevuto dal sensore Falcon, è stato così elaborato dal CI di CrowdStrike e ha scatenato un errore di tipo out-of-bounds-memory-read, facendo crollare l’intero sistema operativo circostante mostrando la tipica schermata di errore blue di windows (BSOD).
CrowdStrike ha dichiarato di esser intervenuta alle 05:27 UTC, rimuovendo l’aggiornamento incriminato. Le stime riportate dal vendor indicano che al momento dell’incidente l’azienda statunitense contava quasi 24 mila clienti.
Microsoft ha stimato che oltre 8 milioni di dispositivi sono stati impattati, ovvero meno dell’1% di tutti i dispositivi gestiti dal colosso di Redmond.
Conclusioni
L’errore commesso da CrowdStrike è stato tra i più impattanti mai visti; i danni sono stimati nell’ordine di decine di miliardi di dollari e il numero di dispositivi coinvolti è significativo. Questo evento ci ricorda ancora una volta la realtà in cui viviamo: un mondo globalizzato in cui tutto è interconnesso e le distanze si sono ridotte.
Ci chiediamo se, in situazioni in cui le infrastrutture e le società coinvolte sono così importanti e numerose, non sarebbe più opportuno procedere con un aggiornamento dei sistemi in modo graduale e a cascata, piuttosto che su vasta scala come è stato fatto.
Articolo a cura del Team Cyber Defense Solutions & Services
Consulthink S.p.A.
info[@]consulthink.it
