Centre de cyber sécurité

En cas d’urgence: 04 20 97 00 97

Incident majeur CrowdStrike : analyse et recommandations pour la sécurité des systèmes

par Frederic Vesperini | 23 Juil 2024

DALL·E 2024-04-23 09.04.47 – Replace the previous visuals with a clear depiction of a progress bar typical of software installation on the computer screen, indicating an ongoing u

Circonstances

Le 19 juillet 2024, Crowdstrike a publié une mise à jour de configuration pour son logiciel EDR Falcon, destiné aux systèmes windows. Cette mise à jour a provoqué des plantages et des écrans bleus de la mort (bsod) sur des millions d’ordinateurs à travers le monde, affectant divers secteurs tels que le transport aérien, les services financiers et les infrastructures de santé (Wikipedia) (CrowdStrike).

Causes techniques

l’incident a été causé par une erreur de logique dans le fichier de configuration du capteur falcon, identifié comme “channel file 291”. Ce fichier, conçu pour améliorer la protection contre certaines attaques, a déclenché une incompatibilité conduisant à un crash du système d’exploitation. La mise à jour n’avait pas été correctement testée dans un environnement sandbox avant déploiement (Wikipedia) (CrowdStrike).

Moyens de remédier aux pannes

Pour remédier aux pannes, suivez ces étapes détaillées par Crowdstrike :

démarrer en mode sans échec :
- redémarrez l’ordinateur et appuyez sur f8 avant que le logo windows n’apparaisse.
- sélectionnez “mode sans échec” dans le menu des options de démarrage avancées.
accéder à l’environnement de récupération windows (windows recovery environment) :
- insérez un disque de réparation système ou un disque d’installation de windows et redémarrez l’ordinateur.
- sélectionnez vos préférences de langue et cliquez sur “suivant”.
- cliquez sur “réparer l’ordinateur”.
supprimer les fichiers problématiques :
- naviguez vers le répertoire c:\windows\system32\drivers\crowdstrike\.
- supprimez tous les fichiers commençant par “c-00000291-” et ayant l’extension .sys.
redémarrer le système :
- après avoir supprimé les fichiers, redémarrez l’ordinateur normalement.
restaurer une sauvegarde (si nécessaire) :
- si le problème persiste, restaurez une sauvegarde du système datant d’avant la mise à jour du 19 juillet (Wikipedia) (CrowdStrike).

Point d’attention sur les tentatives de piratage

Suite à cet incident, une augmentation notable des activités malveillantes a été observée, notamment des tentatives de phishing et la création de domaines frauduleux imitant Crowdstrike. Les attaquants exploitent la confusion créée par l’incident pour cibler les utilisateurs à travers des domaines de typosquatting et des campagnes de phishing (Home).

Dernières recommandations:

surveillance accrue: renforcez la surveillance des emails et des sites web pour détecter et bloquer les domaines suspects.
vérifications des urls: encouragez les utilisateurs à vérifier attentivement les urls avant de saisir des informations sensibles.
formation et sensibilisation: mettez en place des formations pour sensibiliser les employés aux risques de phishing et aux signes à surveiller.

Votre Csirt Cybercorsica reste à votre disposition pour toute assistance supplémentaire concernant cet incident et pour renforcer la sécurité de vos infrastructures numériques.

Dernières publications du CSIRT cyber Corsica

Bulletins de veille

Actualités

Dernières publications de l'ANSSI

Flux des Avis de l’ANSSI

Flux des Alertes de l’ANSSI