Un recente aggiornamento di CrowdStrike ha provocato il crash di milioni di computer con installato Windows 10 e 11 a causa di un problema di compatibilità con il driver csagent.sys. L’effetto più evidente è stata la comparsa della temuta schermata blu (Blue Screen of Death – BSOD) e, in alcuni casi, la manifestazione di un loop di avvio che impedisce il normale utilizzo del sistema. Il problema è stato riscontrato in diversi luoghi, compresi Regno Unito, Australia, Europa e Stati Uniti, ed ha colpito tra gli altri il settore aeroportuale, bancario e le reti ferroviarie.
Cos’è CrowdStrike?
CrowdStrike è una piattaforma di cybersicurezza, rinomata per le sue soluzioni di sicurezza informatica, progettate sia per individui che per aziende. La piattaforma utilizza una tecnologia a singolo sensore e un’interfaccia unificata, con lo scopo di offrire protezione “completa” contro varie minacce.
Caratteristiche principali di CrowdStricke:
- Sensore Unico: CrowdStrike impiega un “agente leggero”, noto come Falcon Sensor, installato sugli endpoint per monitorare e rilevare le minacce in tempo reale senza causare un significativo rallentamento o degrado delle prestazioni della macchina.
- Interfaccia unificata: questa funzionalità permette la correlazione dei dati degli attacchi su più domini, inclusi endpoint, carichi di lavoro e identità, fornendo una visione olistica del panorama delle minacce.
- Protezione dalle minacce alle identità Falcon: questa caratteristica specifica è progettata per prevenire le violazioni basate sull’identità. Monitorando e analizzando le attività basate sull’identità, può rilevare e fermare tentativi di accesso non autorizzati in tempo reale.
Soluzioni possibili per risolvere il problema CrowdStrike:
Soluzione 1 – Cancellare il file critico in modalità provvisoria
- Riavvia il PC e premi ripetutamente F8 per entrare nel menu delle opzioni di avvio avanzate.
- Seleziona “Modalità provvisoria” e premi Enter.
- Apri il prompt dei comandi e naviga fino alla directory dei driver:
cd \windows\system32\drivers
. - Usa il comando
dir C-00000291*.sys
per trovare il file problematico. - Cancella il file con il comando
del C-00000291*.sys
Soluzione 2 – Rinominare la cartella di CrowdStrike
- Segui i passaggi della soluzione 1 qui sopra per entrare in modalità provvisoria.
- Nel prompt dei comandi, naviga fino alla directory dei driver:
cd \windows\system32\drivers
. - Rinomina la cartella di CrowdStrike con
ren CrowdStrike CrowdStrike_old
Soluzione 3 – Disabilitare il servizio CSAgent tramite l’editor del registro
- Entra in modalità provvisoria come descritto sopra.
- Apri l’Editor del Registro di sistema (Tasto Win+R, digita
regedit
). - Naviga fino a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent
. - Modifica il valore della chiave “Start” da 1 a 4 per disabilitare il servizio.
- Riavvia il sistema
In un thread su Reddit, centinaia di amministratori IT stanno segnalando il problema.
“L’intera azienda è offline“, afferma un utente su Reddit, mentre un altro dice che il 70% dei loro laptop sono fuori uso e bloccati in un ciclo di riavvio. “Buon venerdì“, commenta ironicamente un altro. Probabilmente oggi sarà una lunga e “memorabile” giornata per gli amministratori IT di tutto il mondo.
Questo il fix, a conferma di una delle procedure proposte sopra, rilasciato da CrowdStrike (solo per utenti registrati), ma resta il fatto che la risoluzione del problema potrebbe risultare piuttosto complessa su alcuni server in cloud, o su laptop Windows che sono distribuiti e utilizzati da remoto.