Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Aktualizacja CrowdStrike powoduje poważne problemy w bankach, operatorach płatności, telkomach, mediach czy na lotniskach. Windows wyświetla niebieski ekran śmierci.

19 lipca 2024, 11:18 | Aktualności, W biegu | komentarzy 21

W Internecie od rana pojawiają się raporty o olbrzymiej awarii spowodowanej ostatnią aktualizacją CrowdStrike. Użytkownicy reddita donoszą nawet o dziesiątkach tysięcy komputerów niezdatnych do pracy – maszyny wpadają w BSOD (Blue Screen Of Death) informując o problemie w sterowniku csagent.sys. Problemem dotknięte są firmy z praktycznie każdej branży – m.in. banki, operatorzy płatności, media, telekomy, linie lotnicze.

Póki co niewiele wiadomo o przyczynach samej awarii poza tym, że spowodowana jest aktualizacją modułu Falcon Sensor. Falcon Sensor to oprogramowanie służące do zabezpieczania hostów przed atakami. Łączy w sobie cechy EDR’a (Endpoint Detection and Response) oraz antywirusa. Jest dostarczane przez amerykańską firmę CrowdStrike. 

Przykładowy ekran BSOD

Sugerowane obejście problemu zostało potwierdzone na portalu wsparcia technicznego CrowdStrike dostępnego po zalogowaniu, jednak zostało też opublikowane jako ogólnodostępne w wątku na platformie Reddit:

  1. Uruchomić komputer w trybie awaryjnym.
  2. Przejść do C:\Windows\System32\drivers\CrowdStrike.
  3. Znaleźć plik pasujący nazwą do schematu “C-00000291*.sys” i usunąć go.
  4. Zrestartować komputer.

Drugim sugerowanym obejściem jest zmiana nazwy całego katalogu C:\Windows\System32\drivers\CrowdStrike.

Sugerowane obejście problemu, źródło

Będziemy Was informować na bieżąco o aktualizacjach.

~ms, zygzak, fc, pr, tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pietro

    To juz kolejna wtopa CrowdStrike’a w ciagu ostatnich 6 miesiecy.
    Cos kolo marca uaktualniony falcon sensor powodowal nadmierna konsumpcje ramu (memory leak?). Ale to co teraz to juz srogi fuckup.

    Odpowiedz
  2. Piotr

    Bardzo ciekawy przekaz informacji – wszędzie trąbią o awarii Microsoftu (każdy to rozumie, że MS zawinił) a tymczasem awarie spowodowało oprogramowanie CrowdStrike na systemach MS.

    Odpowiedz
    • Andrzej

      Każdy wie że MS nie jest winny. Ale smród pozostał

      Odpowiedz
  3. Mateusz

    Wybaczcie, nie znam źródła ale…

    While the recovery steps shared previously are still viable paths, some customers are seeing success with a reboot of their EC2 instance. CrowdStrike have deployed an update that will replace the “*.sys” file during a reboot with no need to Safe Mode or the detachment of the root volume.

    While we work to recover affected instances, a reboot may provide immediate recovery.

    Odpowiedz
  4. Marta

    „Falcon Sensor to oprogramowanie służące do zabezpieczania hostów przed atakami” no to zabezpiecza na amen :D

    Odpowiedz
  5. Piotr

    Nie wszystkie windowsy mają ten problem, czy wiadomo które?

    Odpowiedz
  6. KrołdStrajk

    Mając stacje robocze z BitLockerem można sobie usuwać ;) W sumie to oznacza, że trzeba fizycznie dostać się do każdej stacji i ręcznie to prostować. Powodzenia przy np. 10k zarażonych stacji w iluś oddziałach ;)

    Od początku ta firma nie wzbudza mojego zaufania – wyskoczyli praktycznie znikąd parę lat temu. Fajnie byłoby, gdyby ktoś w temacie przyjrzał się bliżej historii tej firmy i rozwiązaniom, które oferują, zwłaszcza skuteczności. Np. AV nie potrafiący skanować archiwów ZIP, czy skryptów VBS to jest jednak dość egzotyczna sytuacja. Albo wsadzam pendrive, na nim plików pod korek, a tu komunikat – nie znaleziono żadnego typu pliku do skanowania :) Czasami to się wręcz zastanawiam, czy to nie program z serii generowania losowego obciążenia na procku, że niby coś robi :) Ale nie mam jak sprawdzić, może w międzyczasie uratował mnie milion razy… Ale nie mogę znaleźć za bardzo takiego obiektywnego, solidnego testu całego Falcona. Ktoś coś?

    Odpowiedz
    • SeeM

      Teoretycznie można ten kodzik do uruchomienia systemu bez pinu bitlockera bardzo … długo … i … powoli dyktować, albo jakoś poufnie przesłać, ale przedłuża to nieco cały proces.

      Pewnie Falcon wymusza restart systemu operacyjnego po swojej aktualizacji i wszyscy oberwali prawie jednocześnie. Nawet dużo mniej istotne oprogramowanie wypuszcza aktualizację falami, więc jest czas reagować na masowe uszkodzenia, zanim wszytkim się popsuje.

      Odpowiedz
    • John

      Ten produkt to nie jest AV, tylko EDR. Działa behawioralnie i nic nie ma skanować, tylko czekać aż zostanie uruchomione.

      Odpowiedz
      • John

        A co do testu skuteczności, sprawdź sobie MITRE ATT&CK® Evaluations.

        Odpowiedz
      • KrołdStrajk

        I nawet bym był gotów przyznać Ci rację, gdyby nie to, że:
        – oferuje opcję skanowania plików z menu kontekstowego – jeśli nie działa, a jeszcze nie widziałem, żeby coś chciał łaskawie skanować, to po co opcja? Działanie tego zresztą też jest egzotyczne – skasowanie nie pokazuje nic poza toastem, a na koniec trzeba sobie wejść w wyniki z menu kontekstowego Pulpitu, które otwiera okno terminala (mistrzowski UX dla end-usera), w którym i tak zwykle jest, że fajnie, że chcę sobie coś przeskanować, ale ten typ pliku nie jest obsługiwany :)
        – podpinając pendrive czyta wszystkie pliki kolejno, blokując np. odpinanie (też słabe). No najwyżej jeśli te pliki następnie wysyła do centrali, bo żeby cokolwiek znalazł, to jeszcze mi się nie zdarzyło :D Mając pecha i podpinając duży pendrive ze sporą ilością plików, można zapomnieć o bezpiecznym wypięciu na kolejne 10-15 minut. No i jeśli nie AV, to co on tam chce? Powinien poczekać aż uruchomię VIRUS.EXE :)

        Działanie, przynajmniej tej części Falcona jest jak dla mnie co najmniej zastanawiające i ciekawi jak wobec tego działają inne moduły. Chociaż pewnie dzisiejszy sukces ochrony stacji roboczych (stacja robocza będzie super-bezpieczna, jeśli się w ogóle nie uruchomi!) daje odpowiedź ;)

        PS: I jeszcze co do przypadków z pola CS – mam fajne foto jak csagent.sys zżera cały rdzeń CPU – analizowałem parę miesięcy temu xperf dlaczego komp lata jak mucha w smole i proces „System” robi stałą okupację 13% proca – okazało się, że csagent.sys jest podpięty pod ntoskrnel.exe i tak sobie wymyślił, że dziś będzie używał 100% komputera, żeby się czasami nie op**rdalał :)

        Ale OK, rzeczywiście dobre źródło z MITRE ATT&CK® Evaluations, za to dziękuję. Mam nadzieję, że chociaż uczestniczący nie znają pełnego przebiegu testów, aby się pod nie nie optymalizować jak to bywa z benchmarkami…

        Odpowiedz
    • Pawel

      Sory ale nie masz kompletnie pojęcia o czym piszesz

      Odpowiedz
  7. Misiu

    Z miesiąc temu taki problem był z redhatem 9 po podbiciu kernela z 9.3 do 9.4 maszyna dostawała kernel panic. Na szczęście wystarczyło się cofnąć na 9.3 i było spoko. Tutaj poszaleli już na maxa

    Odpowiedz
  8. rozek134

    Crowdstrike zaleca aby na hostach dzialal sensor w wersji N-1 i taka jest tez domyslna konfiguracja polityki uaktualniania sensorow. Aby crowdstrike zaciagnal update do najnowszej wersji i spowodowal wysypke nalezalo sie wiec postarac – stworzyc manualnie nowa polityke aktualizacji sensorow dla windows boxow, dodac do niej hosty i wpuscic ja na proda. Reasumujac – czasami warto poczytac dokumentacje i posluchac co mowia TAM na na callach. Dziekuje za uwage.

    Odpowiedz
    • Alaska

      Chyba nie chcesz nam tu powiedzieć, że tak wiele instytucji jednocześnie wpadło na ten sam pomysł, aby nadpisać domyślną politykę bezpieczeństwa aktualizacji inną? ;)
      Są trzy opcje:
      – albo N-1 to nie była domyślna polityka (lub nie od początku i deploymenty różnią się w zależności od tego kto kiedy w to wszedł)
      – albo to była jednak już aktualizacja N-1
      – albo owa polityka nie działa

      Odpowiedz
    • facepalm

      To nie była aktualizacja sensora, lecz „content update”, który każdy sensor zaciąga kilka razy dziennie i żadne ustawienia w konsoli administracyjnej nie mają na to wpływu.

      Dziękuję za uwagę.

      Odpowiedz
  9. dajmiwody

    Po dzisiejszym dniu firma zmienia nazwę na CrowdStroke?

    Odpowiedz
  10. Andy

    Jest na świecie osoba , której jest to całkowita wina i ta osoba o tym wie. Chciałbym się dowiedzieć co ona teraz czuje i co robi ? :)

    Odpowiedz
    • rozek134

      Nie, nie jest to wina jednej osoby. Ktos stworzyl kod, ktos go klepnal i poslal na proda – to po stronie Crowdstrike. Jesli chodzi o dotknietych fakapem klientow to tez sa sami sobie winni. Najnowsza wersja sensora nie jest rekomendowana do szerokiego deploya. Domyslna konfiguracja aktualizacji (i zarazem rekomendowana) to update do wersji N-1, i w przypadku takiej konfiguracji nic sie nie wysypuje. Winnych wiec jest wielu, ale dla uproszczenia caly swiat i tak nie do konca slusznie obwinia Crowdstrike.

      Odpowiedz
  11. Szymon

    Wikipedia : „CrowdStrike … Zapewnia ochronę obciążeń w chmurze i bezpieczeństwo punktów końcowych, analizę zagrożeń i usługi reagowania na cyberataki.” :-)

    Odpowiedz

Odpowiedz