29 Tem, 2024

CrowdStrike Güncelleme Hatası

Olayın Özeti

19 Temmuz 2024 tarihinde 04:09 UTC’de, CrowdStrike, Windows sistemlerine yönelik bir sensör yapılandırma güncellemesi yayınladı. Bu güncelleme, Falcon platformunun koruma mekanizmalarının bir parçası olarak düzenli aralıklarla yapılan yapılandırma değişikliklerinden biriydi. Ancak, bu güncelleme, sistemlerde bir mantık hatasına yol açarak mavi ekran hatasına (BSOD) neden oldu. Sorun, 05:27 UTC’de düzeltilerek güncelleme geri alındı. Bu hata, bir siber saldırının sonucu değildir.

Etki Alanı

Bu olay, 19 Temmuz 2024 04:09 UTC ile 05:27 UTC arasında çevrimiçi olan ve Windows sürüm 7.11 ve üzeri için Falcon sensörü çalıştıran sistemleri etkiledi. Bu zaman diliminde yapılandırma güncellemesini indiren sistemler, mavi ekran hatasına karşı savunmasız hale geldi. Linux ve macOS sistemleri bu yapılandırma dosyasını kullanmadığından etkilenmedi.

Teknik Detaylar

  • Kanal Dosyaları: Falcon sensörünün davranışsal koruma mekanizmalarının bir parçası olarak kullanılan yapılandırma dosyalarıdır. Bu dosyalar genellikle gün içinde birkaç kez güncellenir.
  • Etkilenen Dosya: C:\Windows\System32\drivers\CrowdStrike dizininde bulunan ve “C-00000291-” ile başlayan SYS uzantılı dosyadır. Bu dosya, Windows sistemlerinde adlandırılmış pipe yürütmesini değerlendirmektedir.
  • Mantık Hatası: 291 numaralı Kanal Dosyası, siber saldırılarda kullanılan kötü amaçlı adlandırılmış boruları hedef alacak şekilde güncellenmişti. Ancak bu güncelleme, işletim sisteminin çökmesine neden olan bir mantık hatası içeriyordu.

İyileştirme ve Müdahale

CrowdStrike, hatayı düzeltmek için 291 numaralı Kanal Dosyasını güncelledi ve sorunu giderdi. Bu dosyada başka bir değişiklik yapılmayacaktır. Olaydan etkilenen müşteriler için önerilen adımlar şunlardır:

Olayın Tespiti ve Bildirimi:

    • BSOD hatası BT izleme sistemleri veya kullanıcı bildirimleri ile tespit edilmelidir.
    • Tüm ilgili iç paydaşlara hızlıca bilgi verilmelidir.

Olay Müdahale Ekibinin Oluşturulması:

    • Olay müdahale ekibi hemen toplanmalı ve görev dağılımı yapılmalıdır.

İlk İnceleme ve Değerlendirme:

    • Etkilenen sistemlerin kapsamı ve iş operasyonları üzerindeki etkisi değerlendirilmelidir.

Teknik Müdahale:

    • Etkilenen sistemler güvenli modda başlatılmalı ve ilgili dosyalar manuel olarak silinmelidir:

cd /d C:\

del “C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys”

Sistem Geri Yükleme ve Güncelleme:

    • Sistemler olay öncesi bir geri yükleme noktasına geri yüklenmeli ve CrowdStrike tarafından sağlanan güncellemeler uygulanmalıdır.

Olayın Kökenini ve Nedenini Araştırma:

    • Kök neden analizi yapılmalı ve olayın detayları belgelenmelidir.

İletişim ve Bilgilendirme:

    • İç ve dış paydaşlara durumun çözüldüğüne dair bilgilendirme yapılmalıdır.

Önleyici Tedbirler ve İyileştirme:

    • Sistem ve süreçler gözden geçirilerek iyileştirme alanları belirlenmelidir.
    • Yedekleme ve kurtarma planları güncellenmeli, çalışanlar düzenli olarak eğitilmelidir.

Sonuçların ve Derslerin Değerlendirilmesi:

    • Olay sonrası bir değerlendirme toplantısı düzenlenmeli ve alınan dersler raporlanmalıdır.

Hatanın Nedenleri

  • Yazılım Yapılandırma Hatası: Yapılandırma ayarlarında bir yanlışlık bulunması.
  • Test Eksiklikleri: Güncellemelerden sonra yeterince kapsamlı testlerin yapılmaması.
  • Güvenlik Açıkları: Bilinmeyen güvenlik açıklarının ciddi sorunlara yol açması.

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.




İçerik Hakkında:
CrowdStrike, 19 Temmuz 2024'te Windows sistemleri için bir sensör yapılandırma güncellemesi yayınladı ancak bu güncelleme, mavi ekran hatasına (BSOD) yol açan bir mantık hatasına neden oldu ve kısa süre sonra geri alındı. Bu hata, siber saldırı kaynaklı değildi. Detaylar içeriğimizde.
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram