Il fallout nucleare dell'incidente CrowdStrike: problemi in risoluzione, ma la vicenda è ancora aperta

Quando si verifica un fenomeno particolarmente impattante non vi sono solamente conseguenze immediate al verificarsi del fenomeno stesso, ma anche una "coda" più o meno lunga di effetti secondari: un esempio è il fallout nucleare, ovvero la ricaduta a terra di materiale coinvolto nell'esplosione nucleare, per lo più in forma di detriti e cenere, e anche pulviscolo invisibile. Si tratta di materiale radioattivo e per questo altamente pericoloso, che può diffondersi anche a molti chilometri dal luogo dell'esplosione e per una durata di qualche giorno, a seconda delle condizioni atmosferiche. Gli strascichi di quanto accaduto lo scorso venerdì, con l'incidente informatico che ha visto coinvolte Microsoft e Crowdstrike, ha tutti i contorni di un metaforico fallout radioattivo. I gravi problemi di interruzione di servizio causati da un aggiornamento fallato della suite di sicurezza CrowdStrike, largamente utilizzata da aziende di alto profilo per la protezione degli endpoint, sono andati progressivamente risolvendosi nel corso del fine settimana, ma la situazione è ben lontana dal potersi considerare chiusa.

Microsoft e CrowdStrike, coinvolti 8,5 milioni di sistemi

Microsoft ha stimato che il numero di sistemi Windows coinvolti sia di circa 8,5 milioni, cioè meno dell'1% delle macchine Windows al momento operative nel mondo. Una porzione oggettivamente piccola, che tuttavia nel complesso ed interconnesso mondo odierno è stata sufficiente a causare tutto quello che è accaduto lo scorso venerdì.

Il problema, lo ricordiamo, è stato un aggiornamento di sicurezza difettoso che CrowdStrike ha inviato alle macchine su cui è installato il software di sicurezza Falcon. L'aggiornamento conteneva un file .sys erroneamente funzionante, che ha causato il famigerato Blue Screen of Death e portando al riavvio della macchina.

Dopo una fase di iniziale smarrimento, che ha visto riversarsi su Reddit numerosi amministratori IT in cerca di una possibile soluzione, sia Microsoft sia Crowdstrike hanno documentato come il riavvio dei sistemi più e più volte avrebbe potuto condurre allo scaricamento di un nuovo file di aggiornamento. Microsoft ha suggerito di riavviare "fino a 15 volte" le macchine interessate. Per coloro i quali, però, questa strada non ha avuto alcun effetto, l'ultima spiaggia è risultata essere l'eliminazione manuale del file .sys difettoso (che si trova in Windows/System32/Drivers/CrowdStrike/C-00000291*.sys), così da consentire il riavvio e il download del file corretto.

Nel corso del fine settimana Microsoft ha rilasciato uno strumento di ripristino per automatizzare il processo di riparazione. E' necessario dotarsi di una unità USB da 1GB a 32GB da rendere "bootabile" e da utilizzare per avviare la macchina. Le macchine che non supportano l'avvio da unità USB - come accade in alcuni sistemi aziendali a scopi di sicurezza - possono sfruttare un'opzione PXE per l'avvio tramite rete.

Lo strumento rilasciato da Microsoft fa uso di un ambiente WinPE, una versione basata su riga di comando di Windows e utilizzata solitamente da amministratori IT per l'applicazione di immagini Windows e l'esecuzione di operazioni di ripristino e manutenzione. In questo caso Microsoft ha preparato un meccanismo di ripristino che si avvia direttamente in WinPE, andando ad eliminare il file fallato senza la necessità di utilizzare permessi di amministratore. L'unico ostacolo può essere rappresentato dall'eventuale protezione BitLocker (o altra misura di crittografia del disco), per la quale è necessaria la chiave di ripristino così che lo strumento di riparazione in WinPE possa leggere il disco ed eliminare il file.

Ed è stata proprio la difficoltà, in diverse situazioni, di recuperare la chiave di ripristino BitLocker a rallentare le operazioni di ripristino. In questo caso viene in soccorso lo stesso strumento di riparazione rilasciato da Microsoft che mette a disposizione un'opzione specifica per i sistemi protetti da BitLocker. Utilizzando quest'opzione lo strumento tenta di avviare il sistema operativo in modalità provvisoria usando la chiave memorizzata nel TPM del dispositivo, così da sbloccare il disco e consentire l'eliminazione del file.

Il CEO di CrowdStrike chiamato a testimoniare dalla Commissione sicurezza USA

CrowdStrike ha creato una pagina contenente tutte le indicazioni di ripristino per la risoluzione del problema, che contengono di fatto le indicazioni e gli strumenti condivisi anche da Microsoft. L'impatto del problema e le gravi conseguenze hanno comunque spinto la Commissione per la sicurezza interna USA a chiamare il CEO George Kurtz a testimoniare circa l'accaduto.

"Gli americani meritano di conoscere in dettaglio cosa sia accaduto e le misure di mitigazione che CrowdStrike sta adottando. Solo negli Stati Uniti, sono stati cancellati oltre 3.000 voli commerciali e oltre 11.800 altri sono stati ritardati, con importanti compagnie aeree come United Airlines, Inc., Delta Air Lines e American Airlines che hanno richiesto uno "stop globale a terra" alla Federal Aviation Administration. Inoltre, questo incidente ha causato cancellazioni di interventi chirurgici e interruzioni nei centri di chiamata di emergenza 911, tra molti altri impatti che potrebbero seriamente colpire gli americani. Sebbene sia stata identificata una soluzione per questo aggiornamento software difettoso, i report indicano che potrebbero volerci giorni per risolvere questo incidente e milioni di ore di lavoro manuale, qualcosa che è ancora più difficile da affrontare a causa della nostra significativa carenza di forza lavoro informatica" si legge nella lettera inviata dalla Commissione a CrowdStrike e firmata dal presidente per la Sicurezza Nazionale Mark Green e dal presidente della sottocommissione per la sicurezza informatica e la protezione delle infrastrutture Andrew Garbarino. L'udienza andrà programmata "non più tardi" delle ore ore 5:00PM CT di mercoledì 24 luglio, corrispondenti alla mezzanotte tra mercoledì 24 luglio e giovedì 25 luglio in Italia.

E' curioso osservare che nell'aprile del 2010 un incidente molto simile aveva visto allora protagonista un'altra società di sicurezza, McAfee. Il rilascio del famigerato aggiornamento 5958 aveva innescato un loop di riavvi delle macchine Windows XP su cui era installata la suite di sicurezza. Allora il Chief Technology Officer di McAfee era lo stesso George Kurtz.

I criminali informatici sfruttano la situazione spacciandosi per Crowdstrike

Nel frattempo la vicenda ha rappresentato una ghiotta occasione per vari attori di minaccia a pepetrare le loro malefatte, facendo leva sull'emergenza e sulla necessità, per molte realtà e amministratori IT, di risolvere il problema in tempi brevi. Diverse società di sicurezza e ricercatori di agenzie governative hanno infatti riscontrato un aumento di e-mail di phishing che cercano di trarre vantaggio dalla situazione. Lo stesso CEO di CrowdStrike, in uno dei suoi messaggi, ha invitato i clienti a "rimanere vigili e ad assicurarsi di interagire con rappresentanti ufficiali di CrowdStrike".

Un esempio particolarmente calzante di quello che potrebbe succedere in situazioni del genere è stato riscontrato dal ricercatore g0njxa che ha segnalato nel corso della giornata di sabato una campagna malware che prendeva di mira i clienti dell'istituto bancario BBVA, offrendo un falso aggiornamento "CrowdStrike Hotfix" che andava però ad installare il RAT Remcos. Allegate all'aggiornamento si trovano istruzioni che indicano di "installare l'aggiornamento per evitare errori durante la connessione alla rete interna dell'azienda".

La società di sicurezza AnyRun ha invece individuato un'altra campagna in cui gli aggressori distribuiscono un data wiper, spacciandosi per personale del supporto CrowdStrike. La campagna è stata rivendicata dal gruppo di hacktivisti pro-iraniano Handala, che ha dichiarato di aver inviato il wiper a società israeliane.

Microsoft incolpa la Commissione Europea per il problema CrowdStrike

In una dichiarazione al Wall Street Journal, Microsoft ha infine affermato che una parte delle colpe di quanto accaduto è da imputare alla Commissione Europea e in particolare agli accordi di interoperabilità risalenti al 2009 che impongono a Microsoft di consentire alle app di sicurezza terze lo stesso livello di accesso a Windows garantito agli strumenti proprietari. Ciò significa che Microsoft ha accettato di fornire l'accesso a livello kernel alle suite di sicurezza terze per poter risolvere i vari problemi di antitrust in Europa.