Spring naar bijdragen

  • Wereldwijde IT-storing, veroorzaakt door een foutieve patch van CrowdStrike

     Delen


    De recente wereldwijde IT-storing, veroorzaakt door een foutieve patch van CrowdStrike, heeft de noodzaak voor strikte controle en zorgvuldige procedures binnen de cybersecurity-industrie onderstreept. CrowdStrike is doorgaans bekend om zijn geavanceerde beveiligingsoplossingen, met het Falcon-beveiligingsplatform dat een uitgebreide bescherming biedt aan endpoints zoals servers, laptops en desktops. Dit platform is ontworpen om diep geïntegreerd te zijn met het besturingssysteem, wat enerzijds bijdraagt aan effectieve bescherming tegen bedreigingen, maar anderzijds kwetsbaarheden kan creëren als het systeem zelf wordt aangetast, zoals recentelijk het geval was.

    De problemen veroorzaakt door de update van CrowdStrike agent doen zich alleen voor op Windows systemen, waarbij een Blue Screen of Death werd getoond. Linux en Mac systemen zijn niet getroffen. 
    Windows systemen die vanochtend (19/07/2024) later dan 05:27 UTC online zijn gekomen, zijn niet getroffen. 

    De impact van deze foutieve patch was aanzienlijk en wijdverspreid, met gevolgen voor duizenden organisaties wereldwijd en kosten die mogelijk in de honderden miljoenen euro's lopen. Voorbeelden van getroffen faciliteiten zijn onder andere hotelketens zoals The Cosmopolitan in Las Vegas en belangrijke transportknooppunten zoals Schiphol Airport. Deze verstoringen breidden zich uit naar het dagelijks leven, met als gevolg dat sommige supermarkten alleen contante betalingen konden accepteren.

    Het gedetailleerde overzicht van de situatie wijst op een enkele, maar diepgaande fout binnen de beveiligingsarchitectuur van CrowdStrike's Falcon-platform, dat normaal gesproken breed wordt gerespecteerd voor zijn vermogen om cyberdreigingen in real-time tegen te gaan. Dit incident laat een licht schijnen op de complexe balans tussen het leveren van krachtige beveiligingsmaatregelen en het waarborgen van de integriteit van deze systemen door grondige evaluatie en validatie van updates vóór publicatie.

    ### Belangrijke Reflectiepunten en Toekomstige Overwegingen:

    1. **Noodzaak voor Robuuste Testprocedures:** De fout benadrukt de essentiële behoefte aan een meerlaagse testprocedure vooruitgaand aan de uitrol van enige updates - zelfs reguliere beveiligingspatches. Dit dient zowel intern in verschillende omgevingen als in beperkte, realistische externe scenario's uitgevoerd te worden.

    2. **Transparantie en Communicatie:** Openheid van zaken naar klanten en het snel beschikbaar maken van gedetailleerde informatie kan vertrouwen scheppen, zelfs in tijden van crises. Dit inzicht kan organisaties ook in staat stellen om aangepaste risicobeperkingsstrategieën te ontwikkelen en toe te passen.

    3. **Backup en Recovery Protocollen:** De wijde verspreiding van de impact duidt op een noodzaak voor verbeterde backup en recovery procedures die organisaties kunnen inzetten in reactie op systemische storingen. Hieronder valt ook het testen van deze procedures onder scenario's van grote uitval.

    4. **Breder Cyber-weerbaarheid Perspectief:** Dit incident belicht de noodzaak voor organisaties om nog breder naar hun cybersecurity-weerbaarheid te kijken, niet alleen afhankelijk zijn van een enkele leverancier voor al hun beveiligingsbehoeften, hoe gerespecteerd deze ook moge zijn.

    5. **Continue Learningscyclus:** De snel evoluerende natuur van cyberdreigingen eist dat cybersecurity-professionals en organisaties op de hoogte blijven en flexibel reageren op nieuwe inzichten, waaronder die welke verkregen zijn uit eigen incidenten en die binnen de bredere gemeenschap.

    6. **Sectorbrede Impact en Samenwerking:** De reikwijdte van deze verstoring laat zien dat de gevolgen van dergelijke incidenten niet beperkt zijn tot de getroffen organisaties, maar door kunnen werken op significante aspecten van het dagelijks leven en afhankelijke industrieën treffen. Dit benadrukt de noodzaak voor gezamenlijke aanpakken en kennisuitwisseling binnen de sector.

    CrowdStrike zelf heeft na het incident actie ondernomen om de defecte patch te corrigeren en heeft beloofd zijn update- en ontwikkelingsprocedures te evalueren en te verbeteren, hopend vergelijkbare toekomstige storingen te voorkomen. Zoals met elk incident van deze aard, levert het echter kostbare geleerde lessen op voor zowel het getroffen bedrijf als de brede gemeenschap, oplichtend hoe essentieel zorgvuldigheid, veerkracht en transparantie zijn binnen de cybersecurity-domein. Het bevestigt ook dat, in een tijdperk waarin digitale afhankelijkheid alleen maar toeneemt, de inzet voor voortdurende verbetering en aanpassing aan nieuwe dreigingen van cruciaal belang blijft voor de bescherming tegen de volgende onvoorziene uitdaging.

    ### Handelingsperspectief

    De versie die problemen veroorzaakt is: Channel file 'C-00000291*.sys' met timestamp '0409 UTC'. Versies van dit bestand met een timestamp van '0527 UTC' of later zijn goede versies.

    Probeer bij systemen die de update wel hebben uitgevoerd allereerst het systeem te herstarten om daarmee automatisch een nieuwe versie van de channel file te downloaden.
    Indien dit niet werkt en het systeem in een ‘loop crash’ terecht komt, adviseert Crowdstrike de volgende stappen te nemen om een handmatige interventie uit te voeren:

    1. Boot Windows naar de Safe Mode
    2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer
    3. Lokaliseer bestand “C-00000291*.sys” bestand, klik op de rechter muisknop en verwijder het bestand of hernoem deze naar “C-00000291*.renamed”
    4. Boot de host

    ### In sommige gevallen is er een variant van de workaround nodig. De ons bekende varianten delen we hieronder: 

    Voor fysieke laptop/desktop systemen waarop BIOS storage op 'RAID' ingesteld staat, moet mogelijkerwijs eerst deze instelling worden gewijzigd van 'RAID' naar 'AHCI/NVMe' voordat de (C:) drive in Safe Mode zichtbaar is.
    Indien gebruik gemaakt wordt van Bitlocker, kunnen de volgende acties worden gevolgd voorafgaand aan de hierboven omschreven workaround. Hiervoor zijn wel lokale admin rechten op de host vereist:

    1. Gebruik de 'advanced restart options' om een command prompt te openen.
    2. Skip het verzoek om een bitlocker key wanneer deze wordt gevraagd.
    3. Run het commando: 'bcdedit /set {default} safeboot minimal'.
    4. Nu zou het systeem in Safe Mode moeten booten en kunt u de stappen hierboven volgen om het betreffende .sys bestand te hernoemen.
    5. Hierna start het systeem na een restart in Safe Mode en moet 'msconfig' worden gedraaid.
    6. Op de boot tab moet safeboot weer uitgezet worden.
    7. Tot slot moet het systeem opnieuw opgestart worden om uit Safe Mode te komen.


    William
     Delen


    Terugkoppeling

    Aanbevolen reactie

    • Administrators

    Met de recente fout in een update van CrowdStrike als voedingsbodem, hebben slimme hackers het voorval aangegrepen om hun kwaadaardige activiteiten op te schroeven. Deze opportunisten, leidend door het adagium 'Never waste a good crisis', hebben een stijging veroorzaakt in gerichte phishing-aanvallen. Security-experts en nationale cybersecurity-instanties hebben alarm geslagen over de toename van dergelijke bedrieglijke activiteiten, bedoeld om nietsvermoedende organisaties en individuen in de val te lokken.

    De aard van de phishing-aanvallen is bijzonder verraderlijk. Cybercriminelen verspreiden e-mails die ogenschijnlijk echt lijken, waarin wordt aangeboden om een zogenaamde "hotfix" te downloaden voor de problemen veroorzaakt door de foutieve CrowdStrike-update. Deze kwaadaardige e-mails lijken advies of hulp te bieden van erkende bronnen, zoals bekende banken — de Spaanse BBVA wordt als voorbeeld genoemd. Echter, in plaats van een oplossing, installeren de links of bijlagen in deze e-mails malware op de computers van nietsvermoedende slachtoffers. Analisten hebben vastgesteld dat een specifiek schadelijk bestand, bekend als HijackLoader, vaak gebruikt wordt om vervolgens een Remote Access Tool (RAT) genaamd Remcos te installeren.

    AnyRun-2.png

    Daarbij is vastgesteld dat sommige nep-updates, zogenaamd van CrowdStrike, daadwerkelijk datawipers distribueren. Deze nep-updates, vaak verstuurd vanuit overtuigende maar valse domeinen zoals ‘crowdstrike.com.vc’— vermoedelijk beheerd door aanvallers uit Iran — lokken de ontvangers met de belofte van een gereedschap om de CrowdStrike-problemen te verhelpen. Deze zogenaamde fixes gaan vaak vergezeld van een PDF met instructies en een downloadlink naar een ZIP-bestand met het schadelijke Crowdstrike.exe-bestand. Eenmaal uitgevoerd, ontketent dit bestand een datawiper die opzettelijk belangrijke bestanden beschadigt of wist, waarbij voornamelijk Israëlische organisaties oog in oog lijken te staan met dit destructieve kwaad.

    CrowdStrike heeft zelf de ernst van de situatie erkend en eveneens gewaarschuwd voor malafide pogingen die profiteren van hun recente softwaremisstap. Om de communicatie te stroomlijnen en desinformatie tegen te gaan, heeft het bedrijf duidelijk gemaakt welke kanalen officieel zijn en veilig gebruikt kunnen worden voor updates en ondersteuning. CEO George Kurtz benadrukte dat hun blog en technische ondersteuningsafdeling de sluisdeuren zijn voor authentieke informatie, bedoeld om klanten te behoeden voor de tactieken van misleiders.

    In het licht van deze dreigingen, is het essentieel dat individuen en bedrijven hoog alert blijven, gebruikmaken van de correcte, officiële kanalen voor updates, en altijd de legitimiteit van dergelijke communicatie zorgvuldig nagaan, om zo te vermijden ten prooi te vallen aan deze skrupuleuze uitbuiting van een softwarefout.

    Link naar opmerking
    Deel via andere websites



    Doe je mee?

    Je kunt nu een bericht plaatsen en je later registeren. Als je al een account hebt, kun je je hier aanmelden.
    Note: Your post will require moderator approval before it will be visible.

    Gast
    Voeg een reactie toe...

    ×   Je hebt opgemaakte inhoud geplakt.   Opmaak verwijderen

      Only 75 emoji are allowed.

    ×   Jouw link is automatisch embedded.   Toon als een normale link

    ×   Je vorige inhoud is hersteld.   Schoon editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Nieuwe aanmaken...