Il recente blackout informatico che ha colpito milioni di dispositivi Windows in tutto il mondo ha messo in luce gravi problemi legati al software di sicurezza di CrowdStrike. Mentre l’attenzione mediatica si concentra sulle difficoltà riscontrate dagli utenti di Windows, nuove informazioni rivelano che i problemi potrebbero essere iniziati mesi prima, colpendo i sistemi Linux. Inoltre, sono state messe a disposizione soluzioni per ripristinare i PC interessati. Ecco un’analisi dettagliata delle due principali novità legate a questo evento.
Le recenti scoperte hanno rivelato che il bug associato a CrowdStrike non è emerso solo sui PC Windows, ma ha avuto effetti anche sui server Linux mesi prima. Nel mese di aprile 2024, i server Debian e Rocky Linux furono colpiti da un problema simile a quello che ha devastato i dispositivi Windows. Tuttavia, questa prima incidenza non ricevette molta attenzione, poiché non influenzò grandi infrastrutture od operazioni critiche come aeroporti e governi. Il problema fu identificato quando l’aggiornamento del software antivirus di CrowdStrike provocò malfunzionamenti sui server Linux, portando a situazioni in cui l’unica soluzione era rimuovere completamente il software problematico.
Le segnalazioni indicano che CrowdStrike non riconobbe immediatamente il bug, e il supporto tecnico non offrì una risoluzione tempestiva, aggravando la situazione. Questo episodio iniziale ha evidenziato una carenza nel processo di test e aggiornamento di CrowdStrike, che non riuscì a prevenire l’impatto negativo su diverse piattaforme. La mancanza di attenzione ai problemi di compatibilità ha portato a una crisi che avrebbe potuto essere evitata se l’azienda avesse applicato un modello di test più robusto.
In risposta al disastro informatico, CrowdStrike ha rilasciato un aggiornamento per il suo software Falcon Sensor, destinato a risolvere il problema che ha causato la famosa “Blue Screen of Death” (BSOD) su oltre 8,5 milioni di dispositivi Windows. Tuttavia, il processo di ripristino non è stato immediato e ha richiesto interventi manuali da parte degli amministratori IT.
Per facilitare il ripristino dei dispositivi colpiti, Microsoft ha introdotto uno strumento di ripristino innovativo. Questo strumento permette di creare un’unità USB avviabile che accede all’ambiente Windows PE, consentendo la rimozione del file problematico di CrowdStrike senza dover avviare la macchina in modalità provvisoria. Questo approccio semplifica notevolmente il processo di ripristino e riduce la necessità di diritti di amministratore sul dispositivo. Le opzioni di ripristino offerte includono:
– Recupero da WinPE: Consente di avviare il sistema utilizzando una chiavetta USB, senza richiedere privilegi di amministratore. Tuttavia, se il disco è protetto da BitLocker, sarà necessaria la chiave di ripristino.
– Ripristino dalla modalità provvisoria: Offre la possibilità di avviare il dispositivo in modalità provvisoria e rimuovere manualmente il file problematico, sebbene sia necessario un account con diritti di amministratore. In aggiunta, Microsoft ha fornito istruzioni dettagliate per il ripristino di macchine virtuali Windows su Azure e per dispositivi Windows 10 e 11 sul suo sito di supporto.