“Apagão” foi causado por bug no agente EDR da CrowdStrike 735o53

A Crowdstrike, multinacional americana do segmento de cibersegurança, divulgou que o apagão global, que paralisa desde bancos até companhias aéreas, nesta sexta-feira, 19, não foi causado por um ataque hacker, mas sim por um defeito em uma atualização do seu sistema Falcon Sensor.

Segundo a empresa, trata-se de “um defeito encontrado em uma única atualização de conteúdo para hosts Windows”. O problema não afetou usuários dos sistemas Mac ou Linux.

O Falcon Sensor é um sistema conhecido no jargão como agente de detecção e resposta de endpoint (EDR, na sigla em inglês), uma solução de segurança que monitora continuamente os dispositivos do usuário final para detectar e responder a ameaças cibernéticas, como ransomware e malware.

De acordo com a companhia, sua atualização silenciosa é um dos seus benefícios, mas um arquivo defeituoso em uma dessas manutenções automáticas fez com que computadores Windows com esse dispositivo entrassem em um ciclo de colapsos, causando a temida “tela azul”. 

O sistema também é utilizado na estrutura de nuvem da Microsoft Azure, na qual máquinas virtuais ficaram indisponíveis e aplicativos como Power BI e Teams sofreram instabilidades.

A lista de serviços afetados inclui Microsoft Defender, Intune, Teams, PowerBI, Fabric, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage, Microsoft Purview e o centro de istração do Microsoft 365.

“Um fluxo de trabalho de gerenciamento de cluster de backend implantou uma alteração de configuração, fazendo com que o o ao backend fosse bloqueado entre um subconjunto de clusters do Azure Storage e recursos de computação na região central dos EUA”, diz o comunicado da Microsoft.

Segundo a empresa, isso fazia com que os recursos de computação fossem reiniciados automaticamente quando a conectividade com os discos virtuais era perdida.

De acordo com a Crowdstrike, o problema foi solucionado às 5h27 do fuso horário UTC, 2h27 no horário de Brasília. “O arquivo de canal "C-00000291*.sys" com registro de data e hora 04:09 UTC (1h09 no horário de Brasília) é a versão problemática”, declarou a companhia.

“O problema foi identificado, isolado e uma correção foi implantada. Nós encaminhamos os clientes ao portal de e para as últimas atualizações e continuaremos a fornecer atualizações completas e contínuas em nosso site”, comunicou a americana.

Já na Microsoft, a falha foi identificada às 2h30 (horário de Brasília) e, por volta das 8h, já havia sido corrigida. No entanto, aplicativos que utilizam serviços da Microsoft 365 ainda sentem os impactos.

Após a pane e a abertura da bolsa de Nova Iorque, as ações das duas empresas envolvidas caíram significativamente. A CrowdStrike registrou uma queda de 18% e a Microsoft, de 1,6%.