Microsoft down, Crowstrike down. Due problemi informatici di scala globale sono accaduti tra ieri e oggi, causando ripercussioni nel mondo reale, incluso il sistema dei trasporti. La notizia più recente è quella di problema sulla rete di Microsoft, che a partire da stanotte ha causato ritardi e interruzioni di servizio soprattutto nei trasporti aerei, nel settore bancario e in quello dei media. Alcune compagnie aeree, fra cui Delta, American Airlines, United Airlines e Ryanair, hanno cancellato i propri voli tra ieri notte e stamattina a causa di un “problema di comunicazione”, come segnalato dalla Federal Aviation Administration.
A causa delle coincidenze saltate e dei mancati arrivi, il disagio si è propagato con effetto domino da un aeroporto all’altro anche in Europa, coinvolgendo tra gli altri gli scali di Roma, Parigi, Londra, Edimburgo, Berlino, Amsterdam. Disagi anche a Sydney e Hong Kong. Inoltre problema alla rete di Microsoft sta impattando anche i trasporti ferroviari britannici, il sistema postale e ancora il settore della finanza (disservizi per London Stock Exchange, Piazza Affari e Visa, tra gli altri), emittenti (tra cui la statunitense Abc), catene di supermercati e la rete telefonica australiana. Il fatto è in divenire, e la reale portata si comprenderà poi.
Ma che cosa è successo? Dalle notizie circolate sui media di mezzo mondo, pare non si sia trattato di un attacco informatico bensì di un problema tecnico durante un update di sicurezza di Windows. Microsoft ha detto di aver avviato un’indagine “su un problema che impatta sulla capacità degli utenti di accedere a varie applicazioni e servizi di Microsoft 365”, e di aver già attuato “azioni di mitigazione”.
UN DOPPIO PROBLEMA DI UPDATE?
Non è tutto, però, perché il “crash” di Microsoft pare collegato a un altro problema di aggiornamento software, riguardante la soluzione di Endpoint Detection and Response (Edr) di Crowdstrike, cioè Falcon. Ancora una volta, il collegamento esatto non è chiaro, ma American Airlines ha dichiarato (tramite Abc) di essere “a conoscenza di un problema tecnico relativo a Crowdstrike che sta impattando su numerose compagnie aeree. American sta collaborando con Crowdstrike per risolvere il problema il prima possibile”.
La conferma è arrivata dalla stessa Crowdstrike, con una comunicazione: “Siamo a conoscenza di segnalazioni di arresti anomali su host Windows relativi al Falcon Sensor, i nostri team tecnici stanno lavorando attivamente per risolvere questo problema”.
Su una possibile spiegazione più dettagliata si è sbilanciato Omer Grossman, Cio di CyberArk: “L’evento a cui stiamo assistendo sarà, anche se siamo solo a luglio, uno dei problemi informatici più significativi del 2024. I danni ai processi aziendali a livello globale sono drammatici. L’inconveniente è dovuto a un aggiornamento del software del prodotto Edr di CrowdStrike, soluzione che funziona con privilegi elevati e protegge gli endpoint. Un suo malfunzionamento può, come stiamo vedendo in questo caso specifico, causare il crash del sistema operativo”.
“Ci sono due questioni principali da analizzare”, ha proseguito Grossman. “Come i clienti possano tornare online e ripristinare la continuità dei processi aziendali. Poiché gli endpoint si sono bloccati, con la comparsa del Blue Screen of Death, non possono essere aggiornati da remoto e il problema deve essere risolto manualmente, endpoint per endpoint. Si prevede che questo processo richiederà giorni. La seconda riguarda la causa del malfunzionamento. La gamma di possibilità spazia dall’errore umano (ad esempio uno sviluppatore che ha scaricato un aggiornamento senza un sufficiente controllo di qualità) allo scenario complesso e interessante di un cyberattacco profondo, preparato in anticipo e che prevede l’attivazione da parte di un attaccante di un doomsday command o kill switch”.
Aggiornamento:
Microsoft ha comunicato che il problema ha riguardato delle macchine virtuali in cui erano in esecuzione Windows e l'agente di Crowdstrike Falcon; quest'ultimo durante una procedura di update è rimasto bloccato "in fase di riavvio". L'azienda di Redmond ha anche fatto sapere che "la risoluzione è imminente".
Parallelamente il Ceo di Crowdstrike, George Kurtz, si è scusato per l’accaduto: “Siamo profondamente dispiaciuti per l’impatto causato a clienti, viaggiatori e a chiunque sia stato impattato, inclusa la nostra azienda”, ha dichiarato attraverso il canale televisivo Nbc News. L’amministratore delegato ha suggerito di provare a riavviare il sistema con un reboot, metodo che potrebbe funzionare per alcuni ma al momento non per tutti. L’azienda comunque “farà in modo che ciascun cliente si riprenda completamente”.