Microsoft ha voluto fornire la sua spiegazione di quanto avvenuto alcuni giorni fa dopo l’aggiornamento del software CrowdStrike che ha determinato il blocco di diversi servizi – aeroporti, banche, linee ferroviarie, emittenti televisive – in tutto il mondo. Milioni di terminali sono risultati inaccessibili mostrando la famigerata BSOD (Blue Screen of Death).
Stando alla versione offerta dalla Casa di Redmond, il problema sarebbe stato originato da un driver, CSagent.sys, e più propriamente al suo livello di accesso che avrebbe determinato l’instabilità dei sistemi coinvolti per via di un errore a carico della lettura della memoria. In teoria infatti il processo legato al driver dovrebbe essere attivo soltanto in un’area di quest’ultima.
My new blog – featuring: a technical overview of the CrowdStrike incident, why security products user kernel mode, and what this means for the future of Windows. https://t.co/hhQMXr0Gep
Shout outs to my non-Microsoft friends who gave me input and technical editing, appreciate…
— David Weston (DWIZZZLE) (@dwizzzleMSFT) July 27, 2024
CSagent.sys dovrebbe operare come filtro all’interno di un ambiente Windows. è attraverso di esso che i prodotti ERD (Endpoint Detection and Response) come appunto quello di CrowdStrike possono effettuare scansioni a livello di file system per verificare la sicurezza, o meno, di qualsiasi nuovo file che potrebbe rappresentare un potenziale rischio.
Fin qui tutto bene ma il problema sorge quando, per esempio a seguito di un aggiornamento, si hanno dei malfunzionamenti a livello di kernel a causa di applicazioni di terze parti. Il risultato potrebbe essere imprevedibile esponendo l’host a pericoli di sovrascrittura delle memoria e di compromissione dell’integrità con la necessità di ripristini anche complessi.
Nelle scorse ore la stessa Microsoft ha rilasciato uno strumento, Microsoft Recovery Tool, appositamente realizzato per la risoluzione del problema. Si tratta di uno script PowerShell che permette di generare un’immagine di WinPE (Windows Preinstallation Environment) con cui riportare alla normalità uno degli 8.5 milioni di terminali colpiti.
Per restare sempre aggiornato seguici su Google News!
