Centre de cyber sécurité

En cas d’urgence: 04 20 97 00 97

Incident majeur CrowdStrike : analyse et recommandations pour la sécurité des systèmes

par | 23 Juil 2024

Circonstances

Le 19 juillet 2024, Crowdstrike a publié une mise à jour de configuration pour son logiciel EDR Falcon, destiné aux systèmes windows. Cette mise à jour a provoqué des plantages et des écrans bleus de la mort (bsod) sur des millions d’ordinateurs à travers le monde, affectant divers secteurs tels que le transport aérien, les services financiers et les infrastructures de santé​ (Wikipedia)​​ (CrowdStrike)​.

Causes techniques

l’incident a été causé par une erreur de logique dans le fichier de configuration du capteur falcon, identifié comme « channel file 291 ». Ce fichier, conçu pour améliorer la protection contre certaines attaques, a déclenché une incompatibilité conduisant à un crash du système d’exploitation. La mise à jour n’avait pas été correctement testée dans un environnement sandbox avant déploiement​ (Wikipedia)​​ (CrowdStrike)​.

Moyens de remédier aux pannes

Pour remédier aux pannes, suivez ces étapes détaillées par Crowdstrike :

  1. démarrer en mode sans échec :
    • redémarrez l’ordinateur et appuyez sur f8 avant que le logo windows n’apparaisse.
    • sélectionnez « mode sans échec » dans le menu des options de démarrage avancées.
  2. accéder à l’environnement de récupération windows (windows recovery environment) :
    • insérez un disque de réparation système ou un disque d’installation de windows et redémarrez l’ordinateur.
    • sélectionnez vos préférences de langue et cliquez sur « suivant ».
    • cliquez sur « réparer l’ordinateur ».
  3. supprimer les fichiers problématiques :
    • naviguez vers le répertoire c:\windows\system32\drivers\crowdstrike\.
    • supprimez tous les fichiers commençant par « c-00000291- » et ayant l’extension .sys.
  4. redémarrer le système :
    • après avoir supprimé les fichiers, redémarrez l’ordinateur normalement.
  5. restaurer une sauvegarde (si nécessaire) :
    • si le problème persiste, restaurez une sauvegarde du système datant d’avant la mise à jour du 19 juillet​ (Wikipedia)​​ (CrowdStrike)​.

Point d’attention sur les tentatives de piratage

Suite à cet incident, une augmentation notable des activités malveillantes a été observée, notamment des tentatives de phishing et la création de domaines frauduleux imitant Crowdstrike. Les attaquants exploitent la confusion créée par l’incident pour cibler les utilisateurs à travers des domaines de typosquatting et des campagnes de phishing​ (Home)​.

Dernières recommandations:

  1. surveillance accrue: renforcez la surveillance des emails et des sites web pour détecter et bloquer les domaines suspects.
  2. vérifications des urls: encouragez les utilisateurs à vérifier attentivement les urls avant de saisir des informations sensibles.
  3. formation et sensibilisation: mettez en place des formations pour sensibiliser les employés aux risques de phishing et aux signes à surveiller.

Votre Csirt Cybercorsica reste à votre disposition pour toute assistance supplémentaire concernant cet incident et pour renforcer la sécurité de vos infrastructures numériques.