Falha em atualização do Sensor da CrowdStrike causa Tela Azul do Windows (BSOD) e gera impacto global

Milhares de máquinas Windows estão enfrentando problemas de Tela Azul da Morte (BSOD) ao iniciar, impactando bancos, companhias aéreas, emissoras de TV, supermercados e muitos outros negócios ao redor do mundo. Uma atualização defeituosa do provedor de cibersegurança CrowdStrike está colocando os PCs e servidores afetados offline, forçando-os a um loop de recuperação que impede o início correto das máquinas. A CrowdStrike é amplamente utilizada por muitas empresas em todo o mundo para gerenciar a segurança de PCs e servidores Windows.

Bancos, companhias aéreas e emissoras de TV australianas foram os primeiros a levantar o alarme quando milhares de máquinas começaram a ficar offline. Os problemas estão se espalhando à medida que empresas baseadas na Europa começam seu dia de trabalho. No Reino Unido, a emissora Sky News não conseguiu transmitir seus boletins matinais por horas, exibindo uma mensagem pedindo desculpas pela interrupção. A Ryanair, uma das maiores companhias aéreas da Europa, também está enfrentando um problema de TI de "terceiros", afetando as partidas dos voos.

A Administração Federal de Aviação dos EUA (FAA) está ajudando companhias aéreas como Delta, United e American Airlines devido a problemas de comunicação. "A FAA está monitorando de perto um problema técnico que impacta os sistemas de TI das companhias aéreas dos EUA", disse a porta-voz da FAA, Jeannie Shiffer, em comunicado . "Várias companhias aéreas solicitaram assistência da FAA com paradas em solo para suas frotas até que o problema seja resolvido."

O aeroporto de Berlim também está alertando sobre atrasos devido a "problemas técnicos". Muitos centros de chamadas de emergência 911 no Alasca também foram afetados. Uma companhia aérea na Índia recorreu a passes de embarque manuscritos devido às falhas.

"Estamos trabalhando ativamente com clientes afetados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows", disse George Kurtz, CEO da CrowdStrike, em um post no X. "Hosts Mac e Linux não foram impactados. Isto não é um incidente de segurança ou ataque cibernético."

A CrowdStrike afirma que o problema foi identificado e uma correção foi implementada, mas corrigir essas máquinas não será simples para os administradores de TI. A causa raiz parece ser uma atualização do driver de nível de kernel que a CrowdStrike usa para proteger as máquinas Windows. Embora a CrowdStrike tenha identificado o problema e revertido a atualização defeituosa após "relatos generalizados de BSODs em hosts Windows", isso não ajuda as máquinas que já foram afetadas.

Em um tópico no Reddit, centenas de administradores de TI estão relatando problemas generalizados, e os passos para contornar o problema envolvem inicializar as máquinas Windows afetadas no modo de segurança, navegar até o diretório da CrowdStrike e deletar um arquivo de sistema. Isso será problemático em alguns servidores baseados em nuvem ou mesmo para laptops Windows que são implantados e usados remotamente.

"Toda a nossa empresa está offline", disse um usuário no Reddit, enquanto outro relatou que 70% de seus laptops estão travados em um loop de inicialização. "Feliz sexta-feira", comentou outro usuário. Parece que será um longo dia para os administradores de TI em todo o mundo.

Em um aparente incidente separado, a Microsoft também está se recuperando de vários problemas com seus aplicativos e serviços Microsoft 365. A causa raiz desses problemas foi "uma alteração na configuração em uma parte de nossas cargas de trabalho do backend do Azure."

No X (antigo Twitter), há vários relatos de erros de Tela Azul em hosts Windows, associados a diversas versões dos sensores CrowdStrike. O Windows Latest observou que o arquivo csagent.sys (ou C-00000291*.sys) pode ser o causador do problema. Se você deletar o arquivo ou renomear a pasta do driver, deverá conseguir inicializar o sistema.

Como Corrigir a Tela Azul da Morte e o Ciclo de "Recuperação" no Windows Causado pelo CrowdStrike

Método 1: Use o Modo de Segurança e Apague o Arquivo Afectado

1. Inicialize no Modo de Segurança. Se estiver na tela de Recuperação, clique em "Ver opções avançadas de reparo". No menu de Opções Avançadas de Reparo, selecione "Solução de problemas" e depois "Opções avançadas". Selecione "Configurações de Inicialização" e clique em "Reiniciar". Após reiniciar, pressione 4 ou F4 para iniciar no Modo de Segurança.

2. Alternativamente, desligue o PC, ligue-o novamente e pressione repetidamente F8 até aparecer o menu de Opções Avançadas de Inicialização. Selecione Modo de Segurança.

3. No Modo de Segurança, abra o Prompt de Comando (admin) ou o Windows PowerShell (Admin).

4. No Prompt de Comando, navegue até o diretório do CrowdStrike com o comando: cd C:\Windows\System32\drivers\CrowdStrike.

5. Para deletar o arquivo afetado, localize o arquivo que corresponde ao padrão C-00000291*.sys com o comando: dir C-00000291*.sys.

6. Após identificar o arquivo, delete-o usando del C-00000291.sys. O nome do arquivo pode variar, então certifique-se de seguir os passos corretamente e usar o comando dir para identificar o arquivo correto.

Método 2: Use o Modo de Segurança e Renomeie a Pasta do CrowdStrike

1. Inicialize no Modo de Segurança seguindo os passos descritos no Método 1.

2. Abra o Prompt de Comando no Modo de Segurança.

3. Navegue até o diretório dos drivers com o comando: cd \windows\system32\drivers.

4. Renomeie a pasta CrowdStrike com o comando: ren CrowdStrike CrowdStrike_old.

5. Isso deve permitir que o seu PC inicialize normalmente.

Método 3: Use o Editor de Registro para Bloquear o Serviço CSAgent

1. Inicialize no Modo de Segurança seguindo os passos descritos no Método 1.

2. Abra o Editor de Registro do Windows (use Win+R para encontrar o Editor de Registro).

3. No Editor de Registro, navegue até o caminho: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent.

4. Na chave CSAgent, encontre a entrada Start no painel à direita.

5. Dê um duplo clique em Start para editar seu valor.

6. Altere o valor de 1 (que significa que o serviço está configurado para iniciar automaticamente) para 4 (que desativa o serviço).

7. Clique em OK para salvar as alterações.

8. Feche o Editor de Registro e reinicie o sistema.

Via - WW & TV