Aktualizácia CrowdStrike Falcon spôsobila svetový výpadok služieb

Aktualizácia nástroja CrowdStrike Falcon nasadeného na operačných systémoch Windows spôsobila výpadky systémov a služieb po celom svete. Existuje potenciál zneužitia situácie pre kybernetické útoky.

Zraniteľné systémy:
CrowdStrike Falcon agent/senzor vo viacerých verziách (aktuálne nešpecifikované výrobcom).

Opis činnosti:
Výpadky systémov nastali 19.7.2024 po publikovaní aktualizácie Produktu CrowdStrike Falcon. Chybu podľa spoločnosti CrowdStrike spôsobuje aktualizovaný/pridaný ovládač C-00000291*.sys. Chyba sa prejavuje Windows BSOD stop code: CRITICAL_PROCESS_DIED. Systém ostane v slučke bootovania a vypisuje hlásenie “What failed: csagent.sys”.
Bezpečnostné riziko: Situáciu môžu potenciálne zneužiť útočníci pri rôznych typoch útokov.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Narušenie dostupnosti služieb a systémov
  • Kritický výpadok systémov

Odporúčania:
Pokiaľ na Vašom bezpečnostnom systéme CrowdStrike Falcon problém nenastal, neaktualizujte ho a vypnite automatické aktualizácie, kým výrobca problém nevyrieši. Problém spôsobuje najnovšia aktualizácia.

Pokiaľ Vám Systém spadol (BSOD):

  1. Spustite OS Windows v Safe Mode
  2. Vyhľadajte: C:\Windows\System32\drivers\CrowdStrike
  3. Vyhľadajte súbor  “C-00000291*.sys” a premenujte ho na “C-00000291*.renamed” alebo ho vymažte
  4. Vypnite automatické aktualizácie agenta CrowdStrike

  5. Reštartujte systém

Proces môžete pre zariadenia v doméne automatizovať pomocou skupinových politík.

AKTUALIZÁCIA: Podľa vyjadrenia spoločnosti CrowdStrike oprava chybnej aktualizácie už je dostupná.

Odkazy:
https://www.ncsc.gov.ie/pdfs/CrowdStrike_BSOD_Loop_Issue.pdf
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
https://cybersecuritynews.com/crowdstrike-update-bsod-loop/
https://x.com/MonThreat/status/1814224117144424937
https://www.circl.lu/pub/tr-87/
https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617