CrowdStrike Kesinti Güncellemeleri, Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Etkilenen 8,5 Milyon Windows Ana Bilgisayarının 250.000’inin Hala Kurtarılması Gerekiyor
Mathew J. Schwartz (euroinfosec) •
26 Temmuz 2024
Siber güvenlik uç nokta devi CrowdStrike, 19 Temmuz’da hatalı bir yazılım güncellemesi nedeniyle bozulan bilgisayarların neredeyse tamamının düzeltildiğini söylüyor.
CrowdStrike CEO’su George Kurtz, “25 Temmuz itibarıyla Windows sensörlerinin %97’sinden fazlası tekrar çevrimiçi oldu” dedi. LinkedIn’e yapılan bir gönderide şöyle dedi. Bu değerlendirme, hatalı yazılım güncellemesi dağıtılmadan önceki “haftadan haftaya karşılaştırmaya” dayanmaktadır.
Kurtz, “Bu ilerleme, müşterilerimizin, ortaklarımızın yorulmak bilmeyen çabaları ve CrowdStrike ekibimizin özverisi sayesinde gerçekleşti,” dedi. “Çalışmalarımızın henüz tamamlanmadığını anlıyoruz ve etkilenen her sistemi onarmaya kararlıyız.”
Geçtiğimiz cuma günü yaşanan küresel BT kesintisi, teknoloji uzmanlarını telaşlandırdı ve birçoğu etkilenen sistemlere erişip onları geri yüklemek için hafta sonu boyunca aralıksız çalıştı.
Hatalı “kanal dosyası” güncellemesinden kaynaklanan kesintiler bankaları, borsaları, doktor muayenehanelerini ve hastaneleri, havayollarını ve daha fazlasını etkiledi. Birçok havayolu kesintiler yaşadı ve özellikle Delta, birçok yolcuyu mahsur bırakarak günlerce uçuş iptalleri ve gecikmeleriyle karşı karşıya kaldı.
Şirket, kusurun, “sensörün gözlemlemesi, algılaması veya engellemesi için belirli davranışlara eşlenen” yapılandırma verilerini kullanan nispeten yeni bir tehdit algılama özelliğini içerdiğini söyledi. Şirket, daha önce beklendiği gibi performans gösteren bu yapılandırma dosyalarının bütünlüğünü test ederken, CrowdStrike’ın söylediğine göre 19 Temmuz’da dağıtılan dosyalardan biri “sorunlu içerik verileri içermesine rağmen doğrulamayı geçti” (bkz: CrowdStrike, Kod Test Hatalarının Kesintiyi Önleyemediğini Söyledi).
Microsoft, Cumartesi günü yaptığı açıklamada, hatalı yazılım güncellemesi sonucunda yaklaşık 8,5 milyon Windows ana bilgisayarının (PC’ler, sunucular ve sanal makineler) çöktüğünü ve sonsuz bir yeniden başlatma döngüsüne girdiğini söyledi.
Olay, en kârlı 500 halka açık şirketin dörtte birinin sistemlerini bozdu, bulut kesintisi risk modellemesi ve sigortalama ajansı Parametrix Solutions’ın tahminine göre, bu Fortune 500 şirketlerinin toplu olarak 5,4 milyar dolar doğrudan kayıp göreceği hesaplandı. Bu, Parametrix’in olay nedeniyle “çok önemli maddi olmayan kayıplar” yaşadığını ve kayıplarının tahmin edilmesini zorlaştırdığını söylediği Microsoft’u içermiyor (bkz: CrowdStrike Kesintisi Kayıpları Sağlık ve Bankacılık Sektörünü Sert Vuracak).
Windows Servis ve Teslimatı Başkan Yardımcısı John Cable, Perşembe günü yayınladığı blog yazısında, Microsoft’un “kritik hizmetlerin tekrar çevrimiçi hale getirilmesine yardımcı olmak için 7/24 çalışan 5.000’den fazla destek mühendisi” görevlendirdiğini söyledi.
CrowdStrike, kalite güvence ve test süreçlerini elden geçirmeyi ve güncellemeleri tüm uç noktalara aynı anda değil, herhangi bir sorunu tespit etmek için aşamalı bir şekilde göndermeyi içeren diğer iyileştirmeleri yapmayı vaat etti. Şirket ayrıca soruşturmasını tamamladıktan sonra olayla ilgili tam bir “kök neden analizi” yayınlama sözü verdi.
Duruşmalar ve Soruşturmalar Yaklaşıyor
Kurtz, Kongre önünde ifade vermeye çağrılıyor ve en az bir yasa koyucu, ABD Siber Güvenlik İnceleme Kurulu’ndan olayı araştırmasını istedi. 2021’de Başkan Joe Biden tarafından yetkilendirilen kamu-özel sektör CSRB’nin görevi “önemli siber olayları incelemek ve değerlendirmek ve özel ve kamu sektörlerinde iyileştirmeler sağlayacak somut önerilerde bulunmaktır.”
Saldırganlar, kurtarma araçları gibi görünen kötü amaçlı dosyaları yayan kimlik avı saldırıları da dahil olmak üzere çeşitli yollarla kesintiyi kendi avantajlarına çevirmeye çalışıyorlar. Perşembe günü, CrowdStrike tespit edilen son saldırı girişimlerinden birinin “bir Alman kuruluşunu taklit eden bir web sitesi aracılığıyla sahte bir CrowdStrike Crash Reporter yükleyicisi” sunmak için tasarlanmış kimlik avı saldırıları içerdiğini söyledi.
Ücretsiz Kahve – Ya Da Değil
Birçok analist ve siber güvenlik uzmanı, firmanın olaya karşı şeffaf ve açık sözlü tepkisini överek, bunun müşteri ve potansiyel müşteri kaybını en aza indireceğini söyledi.
Yine de şirket, TechCrunch’ın ilk bildirdiği gibi, çalışanlarına ve iş ortaklarına 10$ değerinde Uber Eats kupon kodları e-postayla gönderdikten sonra tepkiyle karşı karşıya. CrowdStrike, e-postalarda “Minnettarlığımızı ifade etmek için, bir sonraki fincan kahveniz veya gece yarısı atıştırmalığınız bizden!” yazarak alıcıları dahil edilen kupon kodunu kullanmaya yönlendirdi.
Birçok kişi sosyal medyada kodların çalışmadığını bildirdi. CrowdStrike özür diledi ve “müşterilere veya danışanlara hediye çeki göndermediğini” söyledi, bir sözcü. “Bunları, müşterilere bu durumda yardımcı olan takım arkadaşlarımıza ve ortaklarımıza gönderdik. Uber, yüksek kullanım oranları nedeniyle bunu dolandırıcılık olarak işaretledi.”
Bazıları bu hareketi tamamen sorguladı. “Bir fincan kahve veya Uber Eats kredisi özür olarak jesti, 19 Temmuz olayından dolayı kaybedilen on binlerce saatlik adam-saat ve müşteri güvenini telafi etmiyor gibi görünüyor,” dedi bir iş ortağı için çalıştığını ve kuponlardan birini aldığını söyleyen bir kişi.