Schermata blu in Windows: BSOD blocca i sistemi di banche, compagnie aeree e network TV

Un numero incalcolabile di amministratori IT sta denunciando un problema che interessa decine di migliaia di sistemi Windows utilizzati in azienda a livello globale. I sistemi Windows 10 e Windows 11 hanno iniziato improvvisamente a mostrare una schermata blu, con l’impossibilità di effettuare regolarmente l’avvio della macchina.

L’errore BSOD (Blue Screen of Death) riguarda il file csagent.sys che, com’è facile verificare, non è parte integrante dell’installazione standard di Windows. Tutti i sistemi andati in crash hanno infatti un minimo comune denominatore: utilizzano il software per la sicurezza informatica CrowdStrike. Le schermate blu non hanno quindi nulla a che vedere con gli aggiornamenti distribuiti da Microsoft.

Cos’è il file csagent.sys che manda in crash Windows 10 e 11

Il file csagent.sys è un driver di sistema associato a CrowdStrike Falcon, piattaforma di sicurezza informatica utilizzata per proteggere endpoint (come computer e server) dalle minacce. CrowdStrike Falcon è una soluzione di sicurezza basata su cloud che utilizza una combinazione di intelligenza artificiale, machine learning e analisi comportamentale per rilevare e prevenire attacchi informatici, malware, ransomware e altre forme di minacce.

Il driver csagent.sys svolge diverse funzioni di sicurezza, tra cui:

• Monitoraggio: Tiene traccia delle attività di sistema in tempo reale per identificare comportamenti sospetti.
• Protezione: Fornisce protezione attiva contro malware, ransomware e altre minacce.
• Reporting: Raccoglie dati sulle attività di sistema e li invia al server di CrowdStrike per ulteriori analisi.

Il file è parte integrante dell’agent di CrowdStrike, che deve essere installato sui dispositivi endpoint per fornire una protezione continua. È ovviamente un componente software sicuro e legittimo. Tuttavia, un aggiornamento sfortunato – distribuito da CrowdStrike nelle scorse ore sui sistemi dei clienti – ha causato la comparsa di schermate blu in tutto il mondo.

I primi ad accorgersene sono stati gli amministratori IT australiani ma dopo qualche ora le segnalazioni si sono rincorse nelle aree più a ovest del mondo, a partire dall’Europa.

Gravi problemi per banche, compagnie aree, network televisivi e aziende impegnate in ogni settore

CrowdStrike è un’azienda leader nelle soluzioni di sicurezza e i suoi prodotti sono utilizzatissimi in ambito business ed enterprise. Così, il broadcaster britannico Sky News ha dovuto scusarsi con gli spettatori dichiarandosi temporaneamente non in grado di proseguire con la diffusione dei suoi programmi.

La stessa compagnia aerea Ryanair ha lamentato problemi nella gestione dei voli mentre negli USA tutti i voli di Delta, United e American Airlines stanno subendo ritardi proprio in seguito all’incidente occorso. L’aeroporto di Berlino ha emesso un’allerta circa difficoltà tecniche ancora in corso di risoluzione.

Intorno alle ore 7,20 italiane, CrowdStrike ha confermato la problematica: “stiamo riscontrando segnalazioni di BSOD diffusi sui sistemi Windows“.

“La nostra intera azienda è offline“, ha scritto un amministratore IT su Reddit. Un altro utente ha riferito che il 70% dei notebook sono bloccati in un loop continuo al riavvio (“boot loop”) e aggiunge: “sarà una lunga giornata per i team tecnici, buon venerdì“.

Come risolvere il problema e ripristinare l’avvio del PC Windows che mostrano la schermata blu

Dopo tre mancati riavvii, sia Windows 10 che Windows 11 presentano la schermata di ripristino del sistema operativo. Per risolvere il problema, bisogna fare clic su Visualizza opzioni di ripristino avanzate quindi scegliere Prompt dei comandi.

La soluzione temporanea, utile per riavviare il sistema regolarmente, consiste nel digitare quanto segue:

C:
cd\windows\system32\drivers
ren CrowdStrike CrowdStrike-bak

In alternativa, è possibile riavviare Windows in modalità provvisoria, aprire il prompt dei comandi quindi digitare quanto segue:

reg add HKLM\SYSTEM\CurrentControlSet\Services\CSAgent /v Start /t REG_DWORD /d 4 /f

In entrambi i modi si impedisce il caricamento dei driver legati al software CrowdStrike. Riavviando la macchina, essa tornerà ad effettuare il boot senza intoppi. Il passo successivo consisterà nell’applicare la patch rilasciata da CrowdStrike, seguendo le indicazioni fornite dal supporto tecnico.

La seconda modifica (sul registro di sistema) è quella meno invasiva perché si limita a disattivare il servizio CrowdStrike che provoca la schermata blu. Dopo l’installazione degli aggiornamenti correttivi, basterà riavviarlo dalla finestra che appare premendo Windows+R quindi digitando services.msc.

Ci sarebbe anche la soluzione per ripristinare l’avvio di tutti i PC che presentano la schermata blu: per correggere il problema si possono usare WinPE e PXE.

Il commento di CrowdStrike

Da noi contattata, CrowdStrike ha risposto con la seguente dichiarazione: “CrowdStrike sta lavorando attivamente con i clienti colpiti da un difetto riscontrato in un singolo aggiornamento per gli host Windows. Gli host Mac e Linux non sono interessati. Non si tratta di un incidente di sicurezza o di un attacco informatico. Il problema è stato identificato, isolato ed è stata distribuita una correzione. Rimandiamo i clienti al portale di supporto per gli ultimi update; continueremo a fornire aggiornamenti completi e continui sul nostro sito Web. Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso i canali ufficiali. Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike“.