CrowdStrike ha pubblicato sul suo blog una ricostruzione tecnica dell’accaduto promettendo “uno sforzo continuo” di supporto ai clienti impattati: “Abbiamo corretto l’errore aggiornando il contenuto nel Channel File 291. Non verranno implementate ulteriori modifiche” a questo file ha comunicato l’azienda.
Qualche ora dopo l’interruzione globale di venerdì che ha interessato circa 8,5 milioni di dispositivi Windows (meno dell’uno percento di tutte le macchine ha dichiarato Microsoft), CrowdStrike ha pubblicato sul suo blog una ricostruzione tecnica dell’accaduto promettendo “uno sforzo continuo” di supporto ai clienti impattati. “Abbiamo corretto l’errore aggiornando il contenuto nel Channel File 291. Non verranno implementate ulteriori modifiche a questo file” ha comunicato l’azienda di sicurezza informatica.
“Il 19 luglio 2024 alle 4:09 Utc (le 6:09 in Italia, ndr) abbiamo rilasciato un aggiornamento del sensore Falcon per i sistemi Windows, un’operazione di routine della piattaforma”, così inizia la ricostruzione di CrowdStrike. “Questo aggiornamento – aggiunge – ha attivato un errore che ha provocato un arresto anomalo del sistema e una schermata blu della morte sui sistemi interessati. L’arresto è stato risolto alle 5:27 Utc. Non è dovuto o correlato ad un attacco informatico”, ribadisce la società.
In pratica, “potrebbero essere stati impattati” tutti gli utenti che utilizzano il software di sicurezza informatica Falcon Sensor per Windows (nella versione 7.11 e successive) e che erano online venerdì 19 luglio tra le 4:09 e le 5:27 Utc. L’aggiornamento – spiega ancora CrowdStrike – passa per i cosiddetti ‘file di canale’ «una parte normale del funzionamento del sensore”, un processo “non nuovo e «un’architettura in vigore sin dall’inizio di Falcon”.
Ma evidentemente in questa operazione di routine qualcosa deve essere andato storto, un errore di dialogo tra i sistemi Windows e l’aggiornamento stesso. Il file di canale interessato da questo evento è stato identificato nel ‘Channel File 291‘ (la denominazione completa è «C-00000291.sys»), così l’aggiornamento delle 4:09 progettato per rinforzare il sistema dagli attacchi informatici “ha attivato un errore logico che ha provocato un arresto anomalo del sistema operativo”.
La società ha poi corretto “l’errore aggiornando il contenuto nel Channel File 291” e assicura che “non verranno implementate ulteriori modifiche”. Venerdì CrowdStrike ha rilasciato una soluzione manuale, da effettuare fisicamente su ogni macchina colpita.
“Stiamo effettuando un’analisi approfondita della causa principale per determinare come si sia verificato questo difetto – conclude CrowdStrike – Questo sforzo sarà continuo. Ci impegniamo ad identificare eventuali miglioramenti fondamentali e aggiorneremo sui risultati delle analisi man mano che l’indagine procede”.
