Bug CrowdStrike: analisi e workaround

Un recente aggiornamento nel software di sicurezza Falcon di CrowdStrike ha causato un errore critico, noto come black screen of death (BSOD), influenzando numerosi computer con sistema operativo Windows. L’errore si è verificato nel servizio CsFalconService a seguito dell’aggiornamento, causando l’utilizzo completo del 100% delle risorse di un core della CPU in ogni sistema colpito.

L’errore ha avuto conseguenze gravi, interessando diversi ambiti essenziali. In Australia, il governo ha dovuto indire una riunione d’urgenza per gestire le difficoltà operative scaturite dall’errore. Si è verificata una vasta interruzione delle attività in settori vitali quali la sanità, il settore finanziario e i trasporti. Un’organizzazione sanitaria ha segnalato che l’errore ha paralizzato migliaia di dispositivi, mettendo a rischio l’assistenza ai pazienti.

CrowdStrike ha ammesso l’esistenza del problema e ha prontamente informato i suoi clienti, revocando l’aggiornamento che ha causato il malfunzionamento. La compagnia ha suggerito di riavviare i dispositivi affetti per correggere l’errore e riprendere le normali funzionalità operative.

La dichiazione ufficiale del CEO di Crowdstrike, George Kurtz

In un post su X, Kurtz ha dichiarato: “CrowdStrike sta lavorando attivamente con i clienti colpiti da un difetto riscontrato in un singolo aggiornamento dei contenuti per gli host Windows. Gli host Mac e Linux non sono interessati. Non si tratta di un incidente di sicurezza o di un attacco informatico. Il problema è stato identificato, isolato ed è stato distribuito un fix. Rimandiamo i clienti al portale di supporto per gli ultimi aggiornamenti e continueremo a fornire aggiornamenti completi e continui sul nostro sito web. Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso i canali ufficiali. Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike.”

Ecco tre metodi per risolvere il problema  come riportato da Windows Latest

1. Metodo della Modalità Provvisoria e Eliminazione del File:
– Avviare il PC in modalità provvisoria.
– Aprire il prompt dei comandi (admin) o Windows PowerShell (Admin).
– Navigare alla directory CrowdStrike: `cd C:\Windows\System32\drivers\CrowdStrike`.
– Utilizzare `dir C-00000291*.sys` per trovare il file corrispondente.
– Eliminare il file con `del C-00000291.sys`.

2. Rinominare la Cartella in Modalità Provvisoria:
– Avviare il PC in modalità provvisoria.
– Aprire il prompt dei comandi e navigare alla directory dei driver: `cd \windows\system32\drivers`.
– Rinominare la cartella CrowdStrike con `ren CrowdStrike CrowdStrike_old`.

3. Modifica del Registro di Sistema:
– Avviare Windows in modalità provvisoria.
– Aprire l’Editor del Registro di Sistema e navigare a `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent`.
– Modificare il valore di avvio da 1 a 4 per disabilitare il servizio.