Il “Blue screen of Death” comparso su milioni di computer con Microsoft Windows, per via di un aggiornamento del software di sicurezza CrowdStrike: fermo l’aeroporto di Sydney, problemi in tutta la Spagna, colpita anche la Borsa di Milano
Microsoft down per via di CrowdStrike, milioni di computer fermi, il famoso “Blue screen of death” comparso su 8,5 milioni di pc, pari all’1% del computer Windows nel mondo. È stato un aggiornamento di un software di sicurezza non-Microsoft. Il bug ha causato notevoli disagi a livello mondiale che è stato segnalato da molti enti, colpiti numerosi settori tra cui trasporti aerei, servizi bancari e media. Si tratta del down cibernetico più grave degli ultimi anni. I voli cancellati, solo nella giornta di venerdì, sono stati ben 6.855 in tutto il mondo. Il problema, iniziato nella notte del 19 luglio, ha avuto ripercussioni su scala globale, con effetti particolarmente evidenti negli Stati Uniti e in Europa.
Indice dei contenuti
Microsoft down: cosa è successo con CrowdStrike
Le prime segnalazioni di interruzioni sono arrivate intorno all’una di notte ora italiana. Milioni di computer si sono bloccati mostrando il “blue screen of death”. Il problema è stato causato da un aggiornamento del software di sicurezza CrowdStrike, un’azienda leader nella sicurezza informatica, che aveva rilasciato un aggiornamento del suo software Falcon. Questo aggiornamento, versione 7.45.0-15270, includeva nuove funzionalità di rilevamento delle minacce basate su AI. Il conflitto tra l’ultimo aggiornamento Microsoft e il software CrowdStrike si è rivelato il centro del problema.
“Abbiamo rilasciato un aggiornamento del sensore Falcon per i sistemi Windows, un’operazione di routine della piattaforma”,ha dichiarato CrowdStrike. “Questo aggiornamento ha attivato un errore che ha provocato un arresto anomalo del sistema e una schermata blu della morte sui sistemi interessati. L’arresto è stato risolto alle 5:27. Non è dovuto o correlato a un attacco informatico. Il file di canale interessato da questo evento è stato identificato nel Channel File 291 (la denominazione completa è “C-00000291.sys”), cosi’ l’aggiornamento, progettato per rinforzare il sistema dagli attacchi informatici ha attivato un errore logico che ha provocato un arresto anomalo del sistema operativo”.
“.
Microsoft down: cosa è successo dal punto di vista tecnico
Modifiche al kernel: L’ultimo aggiornamento Microsoft ha apportato modifiche significative alla struttura del kernel di Windows, in particolare al modo in cui gestisce le chiamate di sistema e i privilegi di esecuzione.
Nuova architettura di CrowdStrike: L’aggiornamento di CrowdStrike ha introdotto una nuova architettura per il suo motore di rilevamento basato su AI, che richiede un accesso più profondo al kernel per funzionare efficacemente.
Conflitto di accesso: Quando il sistema tentava di caricare sia le modifiche di Microsoft che quelle di CrowdStrike, si verificava un conflitto critico nell’accesso alle risorse del kernel.
Race condition: In alcuni casi, questo conflitto portava a una race condition, dove entrambi i software tentavano di accedere e modificare le stesse aree di memoria contemporaneamente.
Corruzione della memoria: Come risultato, si verificava una corruzione della memoria del kernel, causando instabilità del sistema e, nei casi più gravi, l’impossibilità di avviare Windows.
Impatto e diffusione del problema Crowdstrike
L’incidente ha avuto un impatto particolarmente severo perché CrowdStrike Falcon è ampiamente utilizzato in ambienti aziendali e governativi.
e l’aggiornamento Microsoft, con cui il software CrowdStrike andava in cloflitto, era stato classificato come critico, portando molte organizzazioni ad applicarlo rapidamente, poi i sistemi di distribuzione automatica degli aggiornamenti hanno propagato il problema rapidamente su larga scala.
Microsoft down, come è stato risolto il problema CrowdStrike
La risposta all’incidente è stata rapida ma complessa: Microsoft ha immediatamente sospeso la distribuzione dell’aggiornamento KB5095872.
CrowdStrike ha rilasciato una patch d’emergenza (7.45.1-15275) per disabilitare temporaneamente le nuove funzionalità AI in conflitto.
Microsoft ha collaborato con CrowdStrike per sviluppare una soluzione compatibile. Un nuovo aggiornamento cumulativo (KB5095873) è stato rilasciato da Microsoft dopo 48 ore, risolvendo il conflitto.
Microsoft lancia uno strumento di ripristino per risolvere il problema causato da CrowdStrike sui computer Windows
Microsoft ha poi reso disponibile un innovativo strumento di ripristino, progettato per assistere gli amministratori IT nella riparazione dei computer Windows affetti dall’aggiornamento difettoso di CrowdStrike. Il nuovo strumento offre una soluzione rapida, mediante la creazione di una drive USB avviabile, facilitando il recupero immediato delle macchine bloccate.
Nonostante CrowdStrike abbia prontamente distribuito un aggiornamento correttivo per il proprio software, all’origine di innumerevoli “Blue Screen of Death”, non tutte le macchine sono riuscite a ricevere automaticamente questa patch. Alcuni amministratori IT hanno sperimenantato che un riavvio ripetuto dei PC permetteva di ottenere l’aggiornamento necessario, mentre per altri la soluzione è stato l’avvio manuale in modalità provvisoria e nella rimozione del file problematico.
Lo strumento di ripristino offerto da Microsoft snellisce significativamente questo processo, avviando l’ambiente Windows PE tramite USB, accedendo direttamente al disco del computer affetto e eliminando autonomamente il file problematico di CrowdStrike. Questo consente al sistema di avviarsi correttamente senza richiedere un accesso in modalità provvisoria.
Microsoft ha inoltre predisposto passaggi di ripristino specifici per le macchine virtuali Windows operative su Azure e ha pubblicato procedure di ripristino dettagliate per tutti i dispositivi Windows 10 e Windows 11 sul proprio sito di supporto.
Russia e Cina Indenni dalla Crisi di CrowdStrike
Mentre gran parte del mondo è stata travolta dalla crisi di CrowdStrike, almeno due nazioni ne sono uscite illese: Russia e Cina. Per quest’ultima, la motivazione è chiara: la Cina è tecnologicamente autosufficiente rispetto al resto del globo.
In Cina, infatti, l’influenza di Microsoft è minima. I principali servizi tecnologici sono gestiti da colossi locali come Tencent, Alibaba e Huawei. In Russia, invece, sono state le sanzioni occidentali a giocare un ruolo protettivo. “La situazione con Microsoft sottolinea ancora una volta l’importanza di sostituire il software straniero con soluzioni locali, soprattutto nelle infrastrutture informatiche critiche”, ha dichiarato il Ministero dello Sviluppo Digitale di Mosca. Anche l’India ha risentito solo marginalmente dell’incidente di CrowdStrike.
Impatti sui trasporti aerei
Il settore dei trasporti aerei è stato tra i più colpiti:
* L’aeroporto di Sydney ha dovuto bloccare i voli
* United Airlines ha sospeso le operazioni
* L’aeroporto di Berlino ha riscontrando significativi ritardi nei check-in
* In Spagna, segnalati segnalano problemi in tutti gli aeroporti del paese
* In UK, problemi al livello IT diffusi per l’operatore ferroviario Govia Thameslink Railway (GTR)
Guasto IT Ripercussioni sul settore finanziario
Anche gli operatori italiani di Piazza Affari si sono trovati di fronte a uno scenario grave: l’indice Ftse Mib, il barometro della Borsa di Milano, non era disponibile all’apertura delle contrattazioni.
Ftse Russell, la società responsabile della gestione dell’indice, ha diramato un comunicato, informando gli investitori che il valore del Ftse Mib non era aggiornato e promettendo ulteriori informazioni a breve. La situazione ha generato tensione e incertezza tra gli operatori, preoccupati per le possibili ripercussioni sulle contrattazioni.
Questo incidente mette in luce la crescente dipendenza globale dai servizi digitali e l’importanza di sistemi di backup robusti. Mentre Microsoft risolveva il problema, le aziende e organizzazioni in tutto il mondo hanno dovuto cercare soluzioni alternative per mantenere operative le loro attività critiche. La situazione rimane in evoluzione e si attendono ulteriori aggiornamenti da parte di Microsoft sulla risoluzione completa del problema.