A atualização CrowdStrike que causou uma interrupção global pode ter ignorado as verificações, dizem os especialistas

Bancos globais, companhias aéreas, hospitais e escritórios governamentais foram perturbados. A CrowdStrike divulgou informações para consertar os sistemas afetados, mas especialistas disseram que levará algum tempo para colocá-los de volta em funcionamento porque é necessário eliminar manualmente o código defeituoso.

“Parece que a varredura ou proteção que eles estão fazendo quando olham para o código, esse arquivo pode não ter sido incluído nele ou de alguma forma escapado”, disse Steve Cobb, diretor de segurança do Security Scorecard, alguns de cujos sistemas também foram afetados pelo problema.

Os problemas surgiram rapidamente depois que a atualização foi lançada na sexta-feira, e os usuários postaram fotos nas redes sociais de computadores com telas azuis exibindo mensagens de erro. Estas são conhecidas na indústria como “telas azuis da morte”.

Patrick Wardle, pesquisador de segurança especializado em estudar ameaças contra sistemas operacionais, disse que sua análise identificou o código responsável pela interrupção.

Ele disse que o problema com a atualização estava “em um arquivo que contém informações de configuração ou assinaturas”. Essas assinaturas são códigos que detectam certos tipos de código malicioso ou malware.

“É muito comum que os produtos de segurança atualizem suas assinaturas uma vez por dia… porque estão constantemente monitorando novos malwares e porque querem ter certeza de que seus clientes estão protegidos contra as ameaças mais recentes”, disse ele.

O ritmo das atualizações “pode ser o motivo pelo qual (CrowdStrike) não as testa tanto”, disse ele.

Não está claro como esse código defeituoso foi incluído na atualização e por que não foi detectado antes de ser lançado aos clientes.

“Idealmente, esta tecnologia teria sido implementada primeiro para um grupo limitado. Esta é uma abordagem mais segura para evitar uma grande confusão como esta”, disse John Hammond, principal pesquisador de segurança do Huntress Labs.

Outras empresas de segurança encontraram incidentes semelhantes no passado. Uma atualização falha do antivírus McAfee em 2010 desligou centenas de milhares de computadores.

Mas o impacto global desta interrupção reflete o domínio da CrowdStrike. Mais de metade das empresas da Fortune 500 e muitas agências governamentais, como a principal agência de segurança cibernética dos EUA, a Agência de Segurança Cibernética e de Infraestrutura, utilizam o software da empresa.