L’aggiornamento di Crowdstrike, definito “minore”, ha provocato l’interruzione IT odierna sui sistemi operativi Windows.

Molti si chiedono come mai non siano emersi problemi durante le fasi di test, dato che i test di nuovi software o aggiornamenti si svolgono su macchine fisiche o virtuali che dovrebbero replicare esattamente i PC/Server in uso; questo è corretto, tuttavia…

Cosa sono le macchine virtuali e qual’è la loro utilità in fase di test.

I test di nuovi software o aggiornamenti sono generalmente condotti sia su macchine fisiche che virtuali. Le macchine virtuali sono ambienti software che emulano sistemi informatici e possono replicare le funzionalità di un computer fisico. Questo permette di testare il software in diversi scenari e configurazioni hardware senza la necessità di disporre di molteplici macchine fisiche.

Inoltre, gli strumenti di monitoraggio e gestione delle macchine virtuali aiutano a ottimizzare le prestazioni e a rilevare problemi che potrebbero non essere evidenti durante i test iniziali. Questi strumenti supportano una varietà di tecnologie di virtualizzazione come VMware, Microsoft Hyper-V e Nutanix AHV, fornendo una visibilità approfondita dell’ambiente virtuale e aiutando a garantire la disponibilità e l’integrità dell’infrastruttura virtuali.

Tuttavia, anche con test approfonditi, alcuni problemi possono sfuggire alla fase di test e manifestarsi solo in condizioni di produzione reali, a causa di variabili impreviste o interazioni complesse tra sistemi che sono difficili da replicare in un ambiente di test.

Ripristino di una macchina compromessa con l’aggiornamento Crowdstrike.

Nelle scorse ore, un aggiornamento difettoso del sensore Falcon di Crowdstrike ha provocato il blocco di numerosi PC e server Windows in tutto il mondo, causando problemi a infrastrutture critiche di banche, aeroporti, emittenti televisive e altri servizi.

Crowdstrike ha rilasciato una soluzione temporanea per il problema.

Gli utenti devono riavviare Windows in Modalità Sicura o nel Recovery Environment, navigare nella cartella C:\Windows\System32\drivers\CrowdStrike e cancellare il file C-00000291*.sys, poi riavviare il dispositivo normalmente.

Questa soluzione ha risolto i problemi nelle singole macchine, ma vi assicuro che nel caso di sistemi complessi, non è un semplice DEL di un file, ma il ripristino di numerose macchine anche con una sequenza ben definita, per garantire il ripristino di tutte le funzionalità di rete e dei sistemi interconnessi, senza contare i sistemi ed i blocchi di protezione che non rendono l’esecuzione del comando DEL così semplice ed immediata.