Categories: ALERTAS

Falha em agente de proteção causa caos no mundo

Hoje em dia sabemos que tudo depende de tecnologia, neste cenário, quando se trata de tecnologia, não podemos deixar de falar sobre segurança! São diversas camadas de segurança, uma delas é a proteção ao endpoint, que são estações de trabalho, servidores e dispositivos móveis. Imagine que você é o cara que é responsável pela segurança da empresa (CISO) e lutou para conseguir defender e disponibilizar recursos financeiros para adquirir licenças de uso de uma ferramenta para proteção de endpoints, estamos falando em valores próximos de milhões por ano, para manter a visão e segurança dos endpoints da empresa e acorda com uma notícia de que este software ao invés de fazer o trabalho de evitar que os dispositivos fiquem indisponíveis, na verdade, fez o trabalho inverso.

Aparecem diversas teorias para o que aconteceu, que vai desde “novo ataque de cadeia de suprimentos”, ou que o estagiário (sempre sobra pra esses) fez um deploy em produção sem testar a modificação, etc…

Através do site downdetector.com, podemos ver o impacto em gigantes do mercado:

Aqui vamos te falar o que já chegou em nossas mãos, mais para apoiar na resolução de forma rápida, estamos em contato direto com o time da CrowdStrike, então vamos, lá.

Enviaram este texto para apoiar na solução:

“A CrowdStrike está ciente de relatos de falhas em hosts Windows relacionadas ao Falcon Sensor.

Detalhes

  • Os sintomas incluem hosts apresentando um erro de verificação de bug/tela azul relacionado ao Falcon Sensor.
  • Hosts Windows que não foram impactados não necessitam de nenhuma ação, pois o arquivo do canal problemático foi revertido.
  • Hosts Windows que são trazidos online após 0527 UTC também não serão impactados.
  • Este problema não está impactando hosts baseados em Mac ou Linux.
  • O arquivo do canal “C-00000291*.sys” com data/hora de 0527 UTC ou posterior é a versão revertida (boa).
  • O arquivo do canal “C-00000291*.sys” com data/hora de 0409 UTC é a versão problemática.

Ação Atual

  • A engenharia da CrowdStrike identificou uma implantação de conteúdo relacionada a este problema e reverteu essas mudanças.
  • Se os hosts ainda estiverem falhando e não conseguirem permanecer online para receber as mudanças no Arquivo do Canal, os seguintes passos podem ser usados como solução alternativa:

Passos para Solução Alternativa para hosts individuais:

  1. Reinicie o host para dar a oportunidade de baixar o arquivo do canal revertido. Se o host falhar novamente, então:
  • Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
  • Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike.
  • Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
  • Inicialize o host normalmente.

Nota: Hosts criptografados com Bitlocker podem exigir uma chave de recuperação.

Passos para Solução Alternativa para ambientes de nuvem pública ou semelhantes, incluindo virtual:

Opção 1:

  1. Desanexar o volume de disco do sistema operacional do servidor virtual impactado.
  2. Criar um snapshot ou backup do volume de disco antes de prosseguir como precaução contra mudanças não intencionais.
  3. Anexar/montar o volume a um novo servidor virtual.
  4. Navegar até o diretório %WINDIR%\System32\drivers\CrowdStrike.
  5. Localizar o arquivo correspondente a “C-00000291*.sys” e excluí-lo.
  6. Desanexar o volume do novo servidor virtual.
  7. Reanexar o volume corrigido ao servidor virtual impactado.

Opção 2:

  1. Reverter para um snapshot antes de 0409 UTC.

Passos para Solução Alternativa para Azure via serial:

  1. Fazer login no console do Azure –> Ir para Máquinas Virtuais –> Selecionar a VM.
  2. No canto superior esquerdo do console –> Clique em “Conectar” –> Clique em “Mais maneiras de Conectar” –> Clique em “Console Serial”.
  3. Uma vez que o SAC tenha carregado, digite ‘cmd’ e pressione enter.
  4. Digite ‘cmd’ e pressione enter.
  5. Digite: ch -si 1.
  6. Pressione qualquer tecla (barra de espaço). Insira as credenciais de Administrador.
  7. Digite o seguinte:
  • bcdedit /set {current} safeboot minimal
  • bcdedit /set {current} safeboot network
  1. Reinicie a VM.

Opcional: Como confirmar o estado de inicialização? Execute o comando:

  • wmic COMPUTERSYSTEM GET BootupState.

Últimas Atualizações

  • 2024-07-19 05:30 AM UTC | Alerta Técnico Publicado.
  • 2024-07-19 06:30 AM UTC | Atualizado e adicionados detalhes da solução alternativa.
  • 2024-07-19 08:08 AM UTC | Atualizado.
  • 2024-07-19 XXXX AM UTC | Atualizado.”
Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

12 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

12 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

12 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

16 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

16 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

16 horas ago