Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer

Sårbarhet CrowdStrike

Under morgonen den 19 juli uppmärksammades störningar i säkerhetsplattformen CrowdStrike. Störningarna kan drabba servrar och klienter som kör Microsoft Windows där programvaran Falcon Sensor från CrowdStrike är installerad. Det finns rapporter om att dessa enheter kan bli otillgängliga.

CrowdStrike har bekräftat att de upplever störningar och arbetar med att lösa problemen. De rekommenderar följande tillfälliga åtgärder för de som drabbats:

1. Starta Windows i Safe Mode eller i Windows Recovery Environment
2. Gå till katalogen C:\Windows\System32\drivers\CrowdStrike
3. Hitta filen som matchar "C-00000291*.sys" och döp om den till "C-00000291*.renamed"
4. Starta enheten normalt

Att genomföra dessa åtgärder på enheter där BitLocker är aktiverat kräver särskild hantering, framför allt tillgång till administratörsbehörighet och giltig krypteringsnyckel.

Utbredningen av störningarna är i detta läge oklara, men drabbar flera delar av världen. CERT-SE följer utvecklingen löpande och kommer att uppdatera cert.se allteftersom mer information blir tillgänglig.

CERT-SE tar gärna emot information från svenska aktörer som drabbas av störningarna. Du når oss på 010-240 40 40 eller på cert@cert.se.

Uppdatering 2024-07-19 09:59

CrowdStrike ska ha avbrutit utrullningen av den felaktiga uppdatering som orsakat problemen.

Uppdatering 2024-07-19 11:23

Luxemburgs CSIRT har gått ut med IOC:er som stöd för att identifiera de drivrutiner som tros orsaka de tekniska problem som gör servrar och klienter otillgängliga. [1]

Uppdatering 2024-07-19 12:54

CrowdStrike har gått ut med ett första officiellt uttalande om de tekniska problemen i Falcon Agent. [2]

Uppdatering 2024-07-19 13:21

Kortare tillägg kopplat till CrowdStrikes rekommenderade åtgärder till drabbade som berör enheter där BitLocker är aktiverat. Microsoft och Amazon AWS har gått ut med rekommenderade åtgärder till kunder som drabbats av de tekniska problemen med CrowdStrike på virtuella maskiner i Azure respektive EC2 [3,4].

Uppdatering 2024-07-20 11:45

CrowdStrike har uppdaterat sin webbsida angående händelsen[5].

Det har framkommit uppgifter om att hotaktörer utnyttjar händelsen. CrowdStrike har publicerat en genomgång av händelsen där de även har en lista av domännamn som kan användas till nätfiske och andra skadliga syften[6]. CERT-SE uppmanar till vaksamhet.

Uppdatering 2024-07-20 20:43

Microsoft har publicerat en rådgivning som gäller återställning av Azure Virtual Machines (VM)[7].

Microsoft har även publicerat ett blogginlägg om de åtgärder som Microsoft vidtagit med anledning av händelsen[8].

Cybersäkerhetsexperter varnar fortsatt för att hotaktörer använder händelsen för bland annat nätfiske och för att sprida skadlig kod[9].

Uppdatering 2024-07-21 11:03

Microsoft har publicerat en återställningsguide för drabbade system[10].

Uppdatering 2024-07-25 10:05

CrowdStrike har publicerat en rapport, i vilken orsaken till incidenten beskrivs närmare [11].

Källor

[1] https://www.circl.lu/pub/tr-87/

[2] https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/

[3] https://azure.status.microsoft/en-us/status

[4] https://health.aws.amazon.com/health/status

[5] https://www.crowdstrike.com/blog/technical-details-on-todays-outage/

[6] https://www.crowdstrike.com/blog/falcon-sensor-issue-use-to-target-crowdstrike-customers/

[7] https://techcommunity.microsoft.com/t5/azure-compute-blog/recovery-options-for-azure-virtual-machines-vm-affected-by/ba-p/4196798

[8] https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/

[9] https://cybersecuritynews.com/hackers-exploiting-crowdstrike/

[10] https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959

[11] https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/