Logo SYLink

SYLink

Suite à l'incident mondial qui a touché les systèmes Windows le 19 juillet dans la journée, CrowdStrike a fait un compte rendu de la situation et rassure sur le fait qu'il ne s'agisse pas d'une cyberattaque. Selon certaines estimations, cet incident pourrait avoir impacté potentiellement plus de 55 millions de systèmes.

Que s'est-il passé ?

Le 19 juillet 2024 à 04h09 UTC, CrowdStrike a publié une mise à jour de configuration de capteur pour les systèmes Windows. Ces mises à jour font partie des mécanismes de protection de la plateforme Falcon. Cette mise à jour spécifique a déclenché une erreur logique entraînant un crash système et un écran bleu (BSOD) sur les systèmes affectés. La mise à jour problématique a été rapidement corrigée à 05h27 UTC le même jour.

 

Les clients exécutant le capteur Falcon pour Windows version 7.11 et supérieure, qui étaient en ligne entre le vendredi 19 juillet 2024 à 04h09 UTC et le vendredi 19 juillet 2024 à 05h27 UTC, peuvent être concernés.

Les systèmes exécutant le capteur Falcon pour Windows 7.11 et versions ultérieures qui ont téléchargé la configuration mise à jour entre 04h09 UTC et 05h27 UTC étaient susceptibles de subir un crash système.

Introduction au fichier de configuration

Les fichiers de configuration mentionnés ci-dessus sont appelés « fichiers de canal » et font partie des mécanismes de protection comportementale utilisés par le capteur Falcon. Les mises à jour des fichiers de canal font partie intégrante du fonctionnement normal du capteur et se produisent plusieurs fois par jour en réponse aux nouvelles tactiques, techniques et procédures découvertes par CrowdStrike. Il ne s'agit pas d'un nouveau processus ; l'architecture est en place depuis la création de Falcon.

 

Étapes du Problème

  1. Déploiement de la Mise à Jour :
  • Date et Heure : 19 juillet 2024, 04h09 UTC.
  • Action : Publication d'une mise à jour de configuration de capteur pour les systèmes Windows.
  • Objectif : La mise à jour visait à améliorer la détection de pipes nommés malveillants utilisés par les frameworks C2 dans les cyberattaques.
  1. Déclenchement de l'Erreur Logique :
  • Effet : La mise à jour a causé une erreur logique, entraînant un crash du système d'exploitation (BSOD) sur les machines affectées.
  • Fichier Impacté : Channel File 291.
  1. Réaction de CrowdStrike :
  • Date et Heure : 19 juillet 2024, 05h27 UTC.
  • Action : Correction rapide de la mise à jour de configuration pour résoudre l'erreur logique.

Détails Techniques

  1. Localisation des Fichiers de Configuration :
  • Répertoire : C:\Windows\System32\drivers\CrowdStrike\
  • Format de Nom : Fichiers de configuration commençant par “C-” et se terminant par .sys.
  1. Identification du Fichier Impacté :
  • Fichier : Channel File 291.
  • Nom Complet : “C-00000291-.sys”.
  • Fonction : Contrôle de l'évaluation de l'exécution des pipes nommés sur les systèmes Windows.
  1. Mise à Jour Défectueuse :
  • Contenu : La mise à jour visait à cibler les pipes nommés malveillants utilisés par des frameworks C2.
  • Erreur Logique : La mise à jour a déclenché une erreur logique, provoquant un crash du système d'exploitation.
  1. Remédiation :
  • Correction : Mise à jour du contenu du Channel File 291 pour corriger l'erreur logique.
  • Aucun Changement Supplémentaire : Aucun autre changement au fichier au-delà de la correction de la logique mise à jour.

Impact

  1. Systèmes Affectés :
  • Version : Falcon sensor pour Windows version 7.11 et plus.
  • Période d'Impact : Systèmes en ligne entre 04h09 UTC et 05h27 UTC le 19 juillet 2024.
  1. Conséquences :
  • Crashes Systèmes : Les systèmes affectés ont subi des BSOD, entraînant des interruptions de service.
  • Interruption des Services : Affectation des opérations dans diverses institutions financières et entreprises.