Incident MicroSoft Windows: Crash Systèmes BSOD et Phishing Suite à une Mise à Jour CrowdStrike
Posté le: 22/07/2024
Suite à l'incident mondial qui a touché les systèmes Windows le 19 juillet dans la journée, CrowdStrike a fait un compte rendu de la situation et rassure sur le fait qu'il ne s'agisse pas d'une cyberattaque. Selon certaines estimations, cet incident pourrait avoir impacté potentiellement plus de 55 millions de systèmes.
Que s'est-il passé ?
Le 19 juillet 2024 à 04h09 UTC, CrowdStrike a publié une mise à jour de configuration de capteur pour les systèmes Windows. Ces mises à jour font partie des mécanismes de protection de la plateforme Falcon. Cette mise à jour spécifique a déclenché une erreur logique entraînant un crash système et un écran bleu (BSOD) sur les systèmes affectés. La mise à jour problématique a été rapidement corrigée à 05h27 UTC le même jour.
Les clients exécutant le capteur Falcon pour Windows version 7.11 et supérieure, qui étaient en ligne entre le vendredi 19 juillet 2024 à 04h09 UTC et le vendredi 19 juillet 2024 à 05h27 UTC, peuvent être concernés.
Les systèmes exécutant le capteur Falcon pour Windows 7.11 et versions ultérieures qui ont téléchargé la configuration mise à jour entre 04h09 UTC et 05h27 UTC étaient susceptibles de subir un crash système.
Introduction au fichier de configuration
Les fichiers de configuration mentionnés ci-dessus sont appelés « fichiers de canal » et font partie des mécanismes de protection comportementale utilisés par le capteur Falcon. Les mises à jour des fichiers de canal font partie intégrante du fonctionnement normal du capteur et se produisent plusieurs fois par jour en réponse aux nouvelles tactiques, techniques et procédures découvertes par CrowdStrike. Il ne s'agit pas d'un nouveau processus ; l'architecture est en place depuis la création de Falcon.
Étapes du Problème
- Déploiement de la Mise à Jour :
- Date et Heure : 19 juillet 2024, 04h09 UTC.
- Action : Publication d'une mise à jour de configuration de capteur pour les systèmes Windows.
- Objectif : La mise à jour visait à améliorer la détection de pipes nommés malveillants utilisés par les frameworks C2 dans les cyberattaques.
- Déclenchement de l'Erreur Logique :
- Effet : La mise à jour a causé une erreur logique, entraînant un crash du système d'exploitation (BSOD) sur les machines affectées.
- Fichier Impacté : Channel File 291.
- Réaction de CrowdStrike :
- Date et Heure : 19 juillet 2024, 05h27 UTC.
- Action : Correction rapide de la mise à jour de configuration pour résoudre l'erreur logique.
Détails Techniques
- Localisation des Fichiers de Configuration :
- Répertoire : C:\Windows\System32\drivers\CrowdStrike\
- Format de Nom : Fichiers de configuration commençant par “C-” et se terminant par .sys.
- Identification du Fichier Impacté :
- Fichier : Channel File 291.
- Nom Complet : “C-00000291-.sys”.
- Fonction : Contrôle de l'évaluation de l'exécution des pipes nommés sur les systèmes Windows.
- Mise à Jour Défectueuse :
- Contenu : La mise à jour visait à cibler les pipes nommés malveillants utilisés par des frameworks C2.
- Erreur Logique : La mise à jour a déclenché une erreur logique, provoquant un crash du système d'exploitation.
- Remédiation :
- Correction : Mise à jour du contenu du Channel File 291 pour corriger l'erreur logique.
- Aucun Changement Supplémentaire : Aucun autre changement au fichier au-delà de la correction de la logique mise à jour.
Impact
- Systèmes Affectés :
- Version : Falcon sensor pour Windows version 7.11 et plus.
- Période d'Impact : Systèmes en ligne entre 04h09 UTC et 05h27 UTC le 19 juillet 2024.
- Conséquences :
- Crashes Systèmes : Les systèmes affectés ont subi des BSOD, entraînant des interruptions de service.
- Interruption des Services : Affectation des opérations dans diverses institutions financières et entreprises.
Risques Associés
- Interruption des Services :
- Secteurs Impactés : Plusieurs institutions financières, entreprises technologiques et autres utilisateurs professionnels.
- Effets Immédiats : Écran bleu de la mort (BSOD), interruptions des opérations, potentiels retards et pertes de productivité.
- Fonctionnement des Fichiers de Configuration :
- Channel Files : Parties intégrantes des mécanismes de protection comportementale de Falcon, régulièrement mises à jour.
- Localisation : C:\Windows\System32\drivers\CrowdStrike\
- Identification : Le fichier spécifique impacté commence par “C-00000291-” et se termine par .sys.
- Erreur Logique :
- Cause : La mise à jour de configuration visant les pipes nommés malveillants a déclenché une erreur logique.
- Conséquence : Crash du système d'exploitation.
Conséquences
- Interruption des Services :
- Secteurs Impactés : Institutions financières, entreprises technologiques, services publics et utilisateurs professionnels.
- Effets Immédiats : BSOD, interruptions des opérations, retards, et pertes de productivité.
- Réaction des Marchés :
- Fluctuations : Les actions de CrowdStrike ont chuté de plus de 10% dans les échanges précédant l'ouverture de la Bourse de New York. Les actions de Microsoft ont également été affectées.
- Confiance des Investisseurs : Réduction de la confiance en raison de l'ampleur de la panne.
- Stabilité des Infrastructures :
- Infrastructures Non Affectées : Systèmes exécutant Linux ou macOS, systèmes Windows non connectés durant la période d'impact.
- Opérations en Continu : Les systèmes non affectés continuent de fonctionner normalement sans risque de rencontrer cet événement à l'avenir.
Remédiation et Suivi
- Correction de la Mise à Jour :
- Action : Correction de l'erreur logique dans le Channel File 291.
- Statut : Aucune modification supplémentaire au fichier au-delà de la correction de la logique.
- Support Client :
- Ressources : Blog de CrowdStrike et portail de support pour les recommandations de remédiation à jour.
- Contact : Disponibilité de l'équipe de support pour les besoins spécifiques des clients.
- Analyse des Causes Fondamentales :
- Objectif : Analyse approfondie pour comprendre comment l'erreur logique s'est produite.
- Engagement : Identification et mise en œuvre d'améliorations fondamentales ou de workflow pour renforcer le processus de mise à jour.
Risques Futurs de Phishing
En raison de cet incident, plusieurs domaines ont été créés par des acteurs malveillants pour tenter de tirer parti de la situation via des campagnes de phishing. Les utilisateurs doivent être vigilants et surveiller les indicateurs de compromission (IoCs) suivants :
- crowdstrikebluescreen.com
- crowdstrike0day.com
- crowdstrike-bsod.com
- crowdstrikedoomsday.com
- crowdstrikefix.com
- crowdstrikedown.site
- crowdstriketoken.com
Ces domaines peuvent être utilisés pour diffuser de fausses informations, collecter des données sensibles ou distribuer des logiciels malveillants. Nous recommandons vivement à nos utilisateurs de ne pas visiter ces sites et de signaler toute activité suspecte à notre équipe de support.
L'incident du 19 juillet 2024, causé par une mise à jour de configuration de capteur de CrowdStrike, a mis en évidence les défis complexes auxquels les entreprises de cybersécurité sont confrontées dans un paysage technologique en constante évolution. Bien que cette mise à jour ait entraîné des crashes système et des écrans bleus (BSOD) affectant potentiellement plus de 55 millions de systèmes Windows, CrowdStrike a réagi rapidement en corrigeant l'erreur en moins de deux heures. Cet incident, bien que significatif, n'était pas le résultat d'une cyberattaque, mais d'une erreur logique dans la mise à jour, soulignant l'importance cruciale de la rigueur et des tests dans les processus de déploiement de logiciels.
Cependant, les conséquences de cet événement vont au-delà des interruptions immédiates. Des acteurs malveillants ont rapidement exploité la situation en créant des domaines de phishing tels que crowdstrikebluescreen.com et crowdstrikefix.com, visant à tromper les utilisateurs et à potentiellement voler des informations sensibles. CrowdStrike continue de mener une analyse approfondie pour comprendre les causes profondes de l'erreur et mettre en œuvre des améliorations pour éviter des incidents futurs. L'entreprise conseille également à tous les utilisateurs de rester vigilants face aux tentatives de phishing et de signaler toute activité suspecte. Cet incident sert de rappel poignant de la nécessité d'une vigilance constante et d'une réponse rapide pour maintenir la sécurité et la confiance dans les infrastructures numériques mondiales.
Sources :
https://www.crowdstrike.com/blog/technical-details-on-todays-outage/