Apagão da CrowdStrike para voos e paralisa negócios globais
A Causa Raiz
Em 19 de julho de 2024, uma atualização de rotina no driver do kernel do sensor CrowdStrike Falcon desencadeou a maior interrupção de TI da história. A atualização, enviada às 04:09 UTC, introduziu um erro de lógica no driver CSAgent.sys que fazia com que sistemas Windows 10 e 11 exibissem a tela azul da morte (BSOD) logo após a inicialização. A CrowdStrike confirmou depois que a atualização passou por seus pipelines automatizados de validação porque o caminho de código defeituoso só era executado sob condições específicas de memória que não estavam no conjunto de testes. Em 90 minutos, cerca de 8,5 milhões de endpoints Windows ficaram inoperantes no mundo inteiro.
Impacto na Aviação
As companhias aéreas foram das mais afetadas. A Delta Air Lines imobilizou toda a sua frota por mais de 12 horas, cancelando 4.700 voos — mais do que qualquer outra empresa. A United suspendeu partidas no mundo todo, cancelando 3.200 voos. A American Airlines registrou 1.800 cancelamentos. A FAA emitiu uma ordem de parada para todos os voos nos EUA às 06:15 EDT, com duração até 09:45 EDT, mas os atrasos residuais se estenderam pelo fim de semana. Os aeroportos de Londres Heathrow, Singapura Changi e Tóquio Narita viveram o caos nos terminais, já que quiosques de check-in, scanners de bagagem e sistemas de escalas de tripulação que rodavam o Falcon caíram. No domingo, 21 de julho, os cancelamentos globais de voos ultrapassaram 15 mil, segundo a consultoria Cirium.
Impacto Mais Amplo nos Negócios
O apagão não se limitou à aviação. No JPMorgan Chase, as operações de agências ficaram mais lentas quando as estações de trabalho dos funcionários falharam. O serviço de agregação de notícias da Bolsa de Londres, um feed essencial de dados de mercado, parou por três horas. Grandes farmácias do Reino Unido, como Boots e LloydsPharmacy, não conseguiram processar receitas. Na área da saúde, três hospitais alemães declararam “incidente grave” e suspenderam cirurgias eletivas. Serviços de emergência em vários estados americanos — incluindo o sistema 911 do Alasca — relataram atrasos no atendimento de chamadas porque os terminais dos despachantes ficaram inoperantes. O FinCEN (Financial Crimes Enforcement Network) do Tesouro dos EUA foi forçado a estender prazos para registros de relatórios de atividades suspeitas devido à indisponibilidade dos agentes.
Resposta e Remediação da CrowdStrike
O CEO da CrowdStrike, George Kurtz, emitiu uma declaração pública às 08:45 UTC reconhecendo a atualização defeituosa. A empresa reverteu o arquivo de canal (C-00000291.sys) em 30 minutos após a detecção, mas o estrago estava feito: os sistemas afetados exigiam intervenção manual — inicializar no Modo de Segurança, excluir o arquivo do driver e reiniciar. Para organizações com endpoints gerenciados, a própria ferramenta RTR (Real Time Response) da CrowdStrike poderia automatizar a remoção nas poucas máquinas que ainda inicializavam. No entanto, para dispositivos criptografados com BitLocker, era necessária a digitação da chave de recuperação, o que acrescentava horas à resolução. A CrowdStrike implantou uma segunda atualização em 20 de julho que impedia o carregamento do driver defeituoso, mas não revertia o estado de tela azul nas máquinas já travadas.
Implicações para a Segurança de Endpoints
O incidente expôs um risco arquitetural fundamental: agentes de segurança em nível de kernel com privilégios de atualização automática. A CrowdStrike detém 17,5% do mercado global de detecção e resposta de endpoints (EDR), e o apagão forçou as empresas a repensar a dependência de um único fornecedor. Na semana seguinte, a Microsoft relatou um aumento de 30% nas consultas sobre seu próprio Defender for Endpoint, que usa um kernel de segurança virtualizado (VBS) para reduzir a superfície de ataque de atualizações de driver. Reguladores da UE e do Reino Unido anunciaram investigações formais sobre “resiliência da cadeia de suprimentos de atualizações”. A CrowdStrike prometeu implementar testes canary, lançamentos escalonados e uma nova ferramenta de validação de arquivos de canal — mas o evento já acelerou discussões internas em empresas da Fortune 500 sobre a adoção de arquiteturas de sensores com múltiplas camadas e menos intrusivas, que não se embutem diretamente no kernel do Windows.