Circonstances
Le 19 juillet 2024, Crowdstrike a publié une mise à jour de configuration pour son logiciel EDR Falcon, destiné aux systèmes windows. Cette mise à jour a provoqué des plantages et des écrans bleus de la mort (bsod) sur des millions d’ordinateurs à travers le monde, affectant divers secteurs tels que le transport aérien, les services financiers et les infrastructures de santé (Wikipedia) (CrowdStrike).
Causes techniques
l’incident a été causé par une erreur de logique dans le fichier de configuration du capteur falcon, identifié comme « channel file 291 ». Ce fichier, conçu pour améliorer la protection contre certaines attaques, a déclenché une incompatibilité conduisant à un crash du système d’exploitation. La mise à jour n’avait pas été correctement testée dans un environnement sandbox avant déploiement (Wikipedia) (CrowdStrike).
Moyens de remédier aux pannes
Pour remédier aux pannes, suivez ces étapes détaillées par Crowdstrike :
- démarrer en mode sans échec :
- redémarrez l’ordinateur et appuyez sur f8 avant que le logo windows n’apparaisse.
- sélectionnez « mode sans échec » dans le menu des options de démarrage avancées.
- accéder à l’environnement de récupération windows (windows recovery environment) :
- insérez un disque de réparation système ou un disque d’installation de windows et redémarrez l’ordinateur.
- sélectionnez vos préférences de langue et cliquez sur « suivant ».
- cliquez sur « réparer l’ordinateur ».
- supprimer les fichiers problématiques :
- naviguez vers le répertoire
c:\windows\system32\drivers\crowdstrike\
. - supprimez tous les fichiers commençant par « c-00000291- » et ayant l’extension
.sys
.
- naviguez vers le répertoire
- redémarrer le système :
- après avoir supprimé les fichiers, redémarrez l’ordinateur normalement.
- restaurer une sauvegarde (si nécessaire) :
- si le problème persiste, restaurez une sauvegarde du système datant d’avant la mise à jour du 19 juillet (Wikipedia) (CrowdStrike).
Point d’attention sur les tentatives de piratage
Suite à cet incident, une augmentation notable des activités malveillantes a été observée, notamment des tentatives de phishing et la création de domaines frauduleux imitant Crowdstrike. Les attaquants exploitent la confusion créée par l’incident pour cibler les utilisateurs à travers des domaines de typosquatting et des campagnes de phishing (Home).
Dernières recommandations:
- surveillance accrue: renforcez la surveillance des emails et des sites web pour détecter et bloquer les domaines suspects.
- vérifications des urls: encouragez les utilisateurs à vérifier attentivement les urls avant de saisir des informations sensibles.
- formation et sensibilisation: mettez en place des formations pour sensibiliser les employés aux risques de phishing et aux signes à surveiller.
Votre Csirt Cybercorsica reste à votre disposition pour toute assistance supplémentaire concernant cet incident et pour renforcer la sécurité de vos infrastructures numériques.