De recente wereldwijde IT-storing, veroorzaakt door een foutieve patch van CrowdStrike, heeft de noodzaak voor strikte controle en zorgvuldige procedures binnen de cybersecurity-industrie onderstreept. CrowdStrike is doorgaans bekend om zijn geavanceerde beveiligingsoplossingen, met het Falcon-beveiligingsplatform dat een uitgebreide bescherming biedt aan endpoints zoals servers, laptops en desktops. Dit platform is ontworpen om diep geïntegreerd te zijn met het besturingssysteem, wat enerzijds bijdraagt aan effectieve bescherming tegen bedreigingen, maar anderzijds kwetsbaarheden kan creëren als het systeem zelf wordt aangetast, zoals recentelijk het geval was.
De problemen veroorzaakt door de update van CrowdStrike agent doen zich alleen voor op Windows systemen, waarbij een Blue Screen of Death werd getoond. Linux en Mac systemen zijn niet getroffen.
Windows systemen die vanochtend (19/07/2024) later dan 05:27 UTC online zijn gekomen, zijn niet getroffen.
De impact van deze foutieve patch was aanzienlijk en wijdverspreid, met gevolgen voor duizenden organisaties wereldwijd en kosten die mogelijk in de honderden miljoenen euro's lopen. Voorbeelden van getroffen faciliteiten zijn onder andere hotelketens zoals The Cosmopolitan in Las Vegas en belangrijke transportknooppunten zoals Schiphol Airport. Deze verstoringen breidden zich uit naar het dagelijks leven, met als gevolg dat sommige supermarkten alleen contante betalingen konden accepteren.
Het gedetailleerde overzicht van de situatie wijst op een enkele, maar diepgaande fout binnen de beveiligingsarchitectuur van CrowdStrike's Falcon-platform, dat normaal gesproken breed wordt gerespecteerd voor zijn vermogen om cyberdreigingen in real-time tegen te gaan. Dit incident laat een licht schijnen op de complexe balans tussen het leveren van krachtige beveiligingsmaatregelen en het waarborgen van de integriteit van deze systemen door grondige evaluatie en validatie van updates vóór publicatie.
### Belangrijke Reflectiepunten en Toekomstige Overwegingen:
1. **Noodzaak voor Robuuste Testprocedures:** De fout benadrukt de essentiële behoefte aan een meerlaagse testprocedure vooruitgaand aan de uitrol van enige updates - zelfs reguliere beveiligingspatches. Dit dient zowel intern in verschillende omgevingen als in beperkte, realistische externe scenario's uitgevoerd te worden.
2. **Transparantie en Communicatie:** Openheid van zaken naar klanten en het snel beschikbaar maken van gedetailleerde informatie kan vertrouwen scheppen, zelfs in tijden van crises. Dit inzicht kan organisaties ook in staat stellen om aangepaste risicobeperkingsstrategieën te ontwikkelen en toe te passen.
3. **Backup en Recovery Protocollen:** De wijde verspreiding van de impact duidt op een noodzaak voor verbeterde backup en recovery procedures die organisaties kunnen inzetten in reactie op systemische storingen. Hieronder valt ook het testen van deze procedures onder scenario's van grote uitval.
4. **Breder Cyber-weerbaarheid Perspectief:** Dit incident belicht de noodzaak voor organisaties om nog breder naar hun cybersecurity-weerbaarheid te kijken, niet alleen afhankelijk zijn van een enkele leverancier voor al hun beveiligingsbehoeften, hoe gerespecteerd deze ook moge zijn.
5. **Continue Learningscyclus:** De snel evoluerende natuur van cyberdreigingen eist dat cybersecurity-professionals en organisaties op de hoogte blijven en flexibel reageren op nieuwe inzichten, waaronder die welke verkregen zijn uit eigen incidenten en die binnen de bredere gemeenschap.
6. **Sectorbrede Impact en Samenwerking:** De reikwijdte van deze verstoring laat zien dat de gevolgen van dergelijke incidenten niet beperkt zijn tot de getroffen organisaties, maar door kunnen werken op significante aspecten van het dagelijks leven en afhankelijke industrieën treffen. Dit benadrukt de noodzaak voor gezamenlijke aanpakken en kennisuitwisseling binnen de sector.
CrowdStrike zelf heeft na het incident actie ondernomen om de defecte patch te corrigeren en heeft beloofd zijn update- en ontwikkelingsprocedures te evalueren en te verbeteren, hopend vergelijkbare toekomstige storingen te voorkomen. Zoals met elk incident van deze aard, levert het echter kostbare geleerde lessen op voor zowel het getroffen bedrijf als de brede gemeenschap, oplichtend hoe essentieel zorgvuldigheid, veerkracht en transparantie zijn binnen de cybersecurity-domein. Het bevestigt ook dat, in een tijdperk waarin digitale afhankelijkheid alleen maar toeneemt, de inzet voor voortdurende verbetering en aanpassing aan nieuwe dreigingen van cruciaal belang blijft voor de bescherming tegen de volgende onvoorziene uitdaging.
### Handelingsperspectief
De versie die problemen veroorzaakt is: Channel file 'C-00000291*.sys' met timestamp '0409 UTC'. Versies van dit bestand met een timestamp van '0527 UTC' of later zijn goede versies.
Probeer bij systemen die de update wel hebben uitgevoerd allereerst het systeem te herstarten om daarmee automatisch een nieuwe versie van de channel file te downloaden.
Indien dit niet werkt en het systeem in een ‘loop crash’ terecht komt, adviseert Crowdstrike de volgende stappen te nemen om een handmatige interventie uit te voeren:
- Boot Windows naar de Safe Mode
- Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer
- Lokaliseer bestand “C-00000291*.sys” bestand, klik op de rechter muisknop en verwijder het bestand of hernoem deze naar “C-00000291*.renamed”
- Boot de host
### In sommige gevallen is er een variant van de workaround nodig. De ons bekende varianten delen we hieronder:
Voor fysieke laptop/desktop systemen waarop BIOS storage op 'RAID' ingesteld staat, moet mogelijkerwijs eerst deze instelling worden gewijzigd van 'RAID' naar 'AHCI/NVMe' voordat de (C:) drive in Safe Mode zichtbaar is.
Indien gebruik gemaakt wordt van Bitlocker, kunnen de volgende acties worden gevolgd voorafgaand aan de hierboven omschreven workaround. Hiervoor zijn wel lokale admin rechten op de host vereist:
- Gebruik de 'advanced restart options' om een command prompt te openen.
- Skip het verzoek om een bitlocker key wanneer deze wordt gevraagd.
- Run het commando: 'bcdedit /set {default} safeboot minimal'.
- Nu zou het systeem in Safe Mode moeten booten en kunt u de stappen hierboven volgen om het betreffende .sys bestand te hernoemen.
- Hierna start het systeem na een restart in Safe Mode en moet 'msconfig' worden gedraaid.
- Op de boot tab moet safeboot weer uitgezet worden.
- Tot slot moet het systeem opnieuw opgestart worden om uit Safe Mode te komen.
Door Drifter
Aanbevolen reactie
Doe je mee?
Je kunt nu een bericht plaatsen en je later registeren. Als je al een account hebt, kun je je hier aanmelden.
Note: Your post will require moderator approval before it will be visible.