Bedrijven over de hele wereld ondervinden wijdverspreide storingen op hun Windows-werkstations als gevolg van een foutieve update van het cybersecuritybedrijf CrowdStrike.
“CrowdStrike werkt actief samen met klanten die getroffen zijn door een defect in een enkele contentupdate voor Windows-hosts”, aldus George Kurtz, CEO van het bedrijf, in een verklaring. “Mac- en Linux-hosts worden niet getroffen. Dit is geen beveiligingsincident of cyberaanval.”
Het bedrijf, dat “meldingen van (Blue Screens of Death) op Windows-hosts” erkent, zei verder dat het het probleem heeft geïdentificeerd en dat er een oplossing is geïmplementeerd voor zijn Falcon Sensor-product. Klanten worden dringend verzocht de ondersteuningsportal te raadplegen voor de nieuwste updates.
Voor systemen die al door het probleem zijn getroffen, worden hieronder de instructies voor het beperken ervan vermeld:
- Windows opstarten in de veilige modus of Windows herstelomgeving
- Navigeer naar de map C:WindowsSystem32driversCrowdStrike
- Zoek het bestand met de naam “C-00000291*.sys” en verwijder het
- Start de computer of server normaal opnieuw op
Het is vermeldenswaard dat de storing ook gevolgen had voor Google Cloud Compute Engine, waardoor virtuele Windows-machines die gebruikmaakten van CrowdStrike’s csagent.sys crashten en in een onverwachte herstartstatus terechtkwamen.
“Nadat ze automatisch een defecte patch van CrowdStrike hebben ontvangen, crashen Windows VM’s en kunnen ze niet opnieuw opstarten”, aldus het bericht. “Windows VM’s die momenteel actief zijn, zouden niet langer beïnvloed moeten worden.”
Microsoft Azure heeft ook een soortgelijke update gepubliceerd, waarin staat dat het “rapporten heeft ontvangen over succesvol herstel van klanten die meerdere keren de virtuele machine opnieuw hebben opgestart op de getroffen virtuele machines” en dat “meerdere herstarts (er zijn er wel 15 gemeld) nodig kunnen zijn.”
Amazon Web Services (AWS) heeft op zijn beurt aangegeven dat het maatregelen heeft genomen om het probleem voor zoveel mogelijk Windows-instanties, Windows Workspaces en Appstream-toepassingen op te lossen. Klanten die nog steeds last hebben van het probleem, wordt aangeraden om “actie te ondernemen om de connectiviteit te herstellen”.
Beveiligingsonderzoeker Kevin Beaumont zei: “Ik heb de CrowdStrike-driver verkregen die ze via een automatische update hebben gepusht. Ik weet niet hoe het is gebeurd, maar het bestand is geen geldig geformatteerde driver en zorgt ervoor dat Windows elke keer crasht.”
“CrowdStrike is het beste EDR-product en zit op alles, van verkooppunten tot geldautomaten, enzovoort. Dit zal qua impact waarschijnlijk het grootste ‘cyberincident’ ooit ter wereld zijn.”
Luchtvaartmaatschappijen, financiële instellingen, voedsel- en winkelketens, ziekenhuizen, hotels, nieuwsorganisaties, spoorwegnetwerken en telecombedrijven behoren tot de vele bedrijven die zijn getroffen. Aandelen van CrowdStrike zijn met 15% gedaald in de Amerikaanse premarkethandel.
“De huidige gebeurtenis lijkt – zelfs in juli – een van de belangrijkste cyberproblemen van 2024 te worden”, aldus Omer Grossman, Chief Information Officer (CIO) bij CyberArk, in een verklaring die gedeeld werd met The Hacker News. “De schade aan bedrijfsprocessen op wereldwijd niveau is dramatisch. De storing is te wijten aan een software-update van CrowdStrike’s EDR-product.”
“Dit is een product dat draait met hoge privileges die endpoints beschermen. Een storing hierin kan, zoals we zien in het huidige incident, ervoor zorgen dat het besturingssysteem crasht.”
Het herstel zal naar verwachting dagen duren, omdat het probleem handmatig moet worden opgelost, punt voor punt, door ze op te starten in de veilige modus en de buggy driver te verwijderen, gaf Grossman aan. Hij voegde eraan toe dat het van het grootste belang is om de hoofdoorzaak van de storing te achterhalen.
Jake Moore, wereldwijd beveiligingsadviseur bij het Slowaakse cybersecuritybedrijf ESET, vertelde The Hacker News dat het incident de noodzaak onderstreept van het implementeren van meerdere ‘fail safes’ en het diversifiëren van de IT-infrastructuur.
“Bij upgrades en onderhoud aan systemen en netwerken kunnen onbedoeld kleine fouten optreden, die verstrekkende gevolgen kunnen hebben, zoals klanten van CrowdStrike nu ervaren”, aldus Moore.
“Een ander aspect van dit incident heeft betrekking op ‘diversiteit’ in het gebruik van grootschalige IT-infrastructuur. Dit geldt voor kritieke systemen zoals besturingssystemen (OS’en), cybersecurityproducten en andere wereldwijd geïmplementeerde (geschaalde) applicaties. Waar diversiteit laag is, kan een enkel technisch incident, om nog maar te zwijgen van een beveiligingsprobleem, leiden tot wereldwijde storingen met daaropvolgende domino-effecten.”
Deze ontwikkeling vindt plaats terwijl Microsoft herstelt van een andere storing die problemen veroorzaakte met Microsoft 365-apps en -services, waaronder Defender, Intune, OneNote, OneDrive voor Bedrijven, SharePoint Online, Windows 365, Viva Engage en Purview.
“Een configuratiewijziging in een deel van onze Azure-backendworkloads zorgde voor onderbrekingen tussen opslag- en computerbronnen, wat resulteerde in connectiviteitsfouten die van invloed waren op downstream Microsoft 365-services die afhankelijk zijn van deze verbindingen”, aldus de techgigant.
Omkhar Arasaratnam, algemeen directeur van OpenSSF, zei dat de uitval van Microsoft CrowdStrike de kwetsbaarheid van monoculturele toeleveringsketens onderstreept en benadrukte het belang van diversiteit in technologiestacks voor meer veerkracht en veiligheid.
“Monoculturele toeleveringsketens (één besturingssysteem, één EDR) zijn inherent kwetsbaar en vatbaar voor systemische fouten, zoals we hebben gezien,” benadrukte Arasaratnam. “Goede systeemtechniek vertelt ons dat veranderingen in deze systemen geleidelijk moeten worden doorgevoerd, waarbij de impact in kleine tranches moet worden bekeken in plaats van in één keer. Meer diverse ecosystemen kunnen snelle verandering verdragen, omdat ze bestand zijn tegen systemische problemen.”
