Vulnérabilité
Grève de foule
Dans la matinée du 19 juillet, des perturbations ont été constatées au sein de la plateforme de sécurité CrowdStrike. Les perturbations peuvent affecter les serveurs et les clients exécutant Microsoft Windows sur lesquels le logiciel Falcon Sensor de CrowdStrike est installé. Certains rapports indiquent que ces appareils pourraient devenir indisponibles.
CrowdStrike a confirmé qu’il subit des perturbations et s’efforce de résoudre les problèmes. Ils recommandent les mesures temporaires suivantes pour les personnes concernées:
1. Starta Windows i Safe Mode eller i Windows Recovery Environment
2. Gå till katalogen C:\Windows\System32\drivers\CrowdStrike
3. Hitta filen som matchar "C-00000291*.sys" och döp om den till "C-00000291*.renamed"
4. Starta enheten normalt
L’exécution de ces actions sur des lecteurs compatibles BitLocker nécessite une manipulation particulière, notamment l’accès aux privilèges d’administrateur et une clé de cryptage valide.
La propagation des perturbations est actuellement incertaine, mais elle touche plusieurs régions du monde. CERT-SE suit les développements en permanence et mettra à jour cert.se à mesure que de plus amples informations seront disponibles.
Le CERT-SE est heureux de recevoir des informations des acteurs suédois touchés par les perturbations. Vous pouvez nous joindre au 010-240 40 40 ou à [email protected].
Mise à jour 2024-07-19 09:59
CrowdStrike aurait suspendu le déploiement de la mise à jour défectueuse à l’origine des problèmes.
Mise à jour 2024-07-19 11:23
Le CSIRT luxembourgeois a émis des IOC pour aider à identifier les pilotes soupçonnés d’être à l’origine des problèmes techniques qui rendent les serveurs et les clients indisponibles. [1]
Mise à jour 2024-07-19 12:54
CrowdStrike a publié une première déclaration officielle concernant les problèmes techniques de Falcon Agent. [2]
Mise à jour 2024-07-19 13:21
Addendum plus court relatif aux actions recommandées par CrowdStrike pour les victimes affectant les appareils sur lesquels BitLocker est activé. Microsoft et Amazon AWS ont recommandé des actions aux clients concernés par les problèmes techniques liés à CrowdStrike sur les machines virtuelles dans Azure et EC2 respectivement. [3,4].
Mise à jour 2024-07-20 11:45
CrowdStrike a mis à jour son site Web concernant l’incident[5].
Des informations ont émergé selon lesquelles les acteurs de la menace exploitent l’incident. CrowdStrike a publié une analyse de l’incident dans laquelle ils disposent également d’une liste de noms de domaine pouvant être utilisés à des fins de phishing et à d’autres fins malveillantes.[6]. Le CERT-SE appelle à la vigilance.
Sources
[1] https://www.circl.lu/pub/tr-87/
[2] https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
[3] https://azure.status.microsoft/en-us/status
[4] https://health.aws.amazon.com/health/status
[5] https://www.crowdstrike.com/blog/technical-details-on-todays-outage/
[6] https://www.crowdstrike.com/blog/falcon-sensor-issue-use-to-target-crowdstrike-customers/