Um técnico da Delta trabalha em um conjunto de telas exibindo uma página azul e lendo “Recuperação” no Terminal 2 da Delta Airlines, no aeroporto de Los Angeles, em 19 de julho de 2024. Companhias aéreas, bancos, canais de TV e outros negócios foram interrompidos em todo o mundo na sexta-feira após uma grande interrupção nos sistemas de computador associada a uma atualização de um programa antivírus.
Étienne Laurent | AFP | Imagens Getty
Microsoft disse na sexta-feira que realizará uma conferência em setembro para empresas de segurança cibernética discutirem maneiras como a indústria pode evoluir após uma falha CrowdStrike atualização de software que causou o travamento de milhões de computadores Windows em julho.
O incidente desorganizou os sistemas conectados à Internet. As companhias aéreas cancelaram milhares de voos, as empresas de logística relataram atrasos na entrega de pacotes e os hospitais atrasaram as consultas médicas. Delta Linhas Aéreasque disse que as consequências da interrupção custaram à empresa US$ 550 milhões, está buscando indenização da CrowdStrike e da Microsoft.
A Microsoft se reunirá com a CrowdStrike e outras empresas de segurança em seu campus em Redmond, Washington, no dia 10 de setembro para discutir como evitar problemas semelhantes no futuro, disse um executivo da Microsoft à CNBC em entrevista. A pessoa solicitou anonimato porque não tinha autorização para discutir assuntos internos publicamente.
O executivo disse que os participantes do Windows Endpoint Security Ecosystem Summit explorarão a possibilidade de fazer com que os aplicativos dependam mais de uma parte do Windows chamada modo de usuário, em vez do modo kernel mais privilegiado.
Software da CrowdStrike Ponto de verificação, SentinelaOne e outros no mercado de proteção de endpoints atualmente dependem do modo kernel. Esse acesso ajuda o SentinelOne a “monitorar e impedir maus comportamentos e evitar que malware desative o software de segurança”, disse um porta-voz.
Os aplicativos no modo de usuário são isolados, o que significa que se um travar, não derrubará outros. Mas um aplicativo no modo kernel que falha pode fazer com que todo o Windows trave. Em 19 de julho, a CrowdStrike lançou uma atualização de configuração de conteúdo com bugs para seu sensor Falcon para computadores Windows, com a intenção de coletar dados sobre novos ataques, provocando travamentos no nível do sistema operacional. Os administradores de TI reiniciaram os PCs que receberam a atualização exibindo uma tela de “tela azul da morte”, um por um.
O executivo da Microsoft disse que remover o acesso ao kernel do Windows resolveria apenas uma pequena porcentagem dos problemas potenciais.
Maçã nos últimos anos tem limitado acesso ao kernel no macOS e na empresa desencoraja desenvolvedores de usar extensões de kernel.
Os participantes do evento da Microsoft em 10 de setembro também discutirão a adoção da tecnologia eBPF, que verifica se os programas serão executados sem provocar falhas no sistema, e linguagens de programação seguras para memória, como Rust, disse o executivo.
No ano passado, a Microsoft doado US$ 1 milhão para a organização sem fins lucrativos Rust Foundation, que paga bolsas para pessoas que trabalham no idioma.
A Microsoft compete com a CrowdStrike com seu produto Defender for Endpoint. Essa equipe comparecerá como qualquer outra empresa de segurança cibernética e não receberá tratamento preferencial, disse o executivo.
“Compartilharemos mais atualizações sobre essas conversas após o evento”, escreveu o vice-presidente corporativo da Microsoft, Aidan Marcuss, em um blog.