CrowdStrike Kesinti Güncellemeleri, Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Etkilenen 8,5 Milyon Windows Ana Bilgisayarının 250.000’inin Hala Kurtarılması Gerekiyor
Mathew J. Schwartz (euroinfosec) •
26 Temmuz 2024
Siber güvenlik uç nokta devi CrowdStrike, 19 Temmuz’da hatalı bir yazılım güncellemesi nedeniyle bozulan bilgisayarların neredeyse tamamının düzeltildiÄŸini söylüyor.
CrowdStrike CEO’su George Kurtz, “25 Temmuz itibarıyla Windows sensörlerinin %97’sinden fazlası tekrar çevrimiçi oldu” dedi. LinkedIn’e yapılan bir gönderide şöyle dedi. Bu deÄŸerlendirme, hatalı yazılım güncellemesi dağıtılmadan önceki “haftadan haftaya karşılaÅŸtırmaya” dayanmaktadır.
Kurtz, “Bu ilerleme, müşterilerimizin, ortaklarımızın yorulmak bilmeyen çabaları ve CrowdStrike ekibimizin özverisi sayesinde gerçekleÅŸti,” dedi. “Çalışmalarımızın henüz tamamlanmadığını anlıyoruz ve etkilenen her sistemi onarmaya kararlıyız.”
Geçtiğimiz cuma günü yaşanan küresel BT kesintisi, teknoloji uzmanlarını telaşlandırdı ve birçoğu etkilenen sistemlere erişip onları geri yüklemek için hafta sonu boyunca aralıksız çalıştı.
Hatalı “kanal dosyası” güncellemesinden kaynaklanan kesintiler bankaları, borsaları, doktor muayenehanelerini ve hastaneleri, havayollarını ve daha fazlasını etkiledi. Birçok havayolu kesintiler yaÅŸadı ve özellikle Delta, birçok yolcuyu mahsur bırakarak günlerce uçuÅŸ iptalleri ve gecikmeleriyle karşı karşıya kaldı.
Åžirket, kusurun, “sensörün gözlemlemesi, algılaması veya engellemesi için belirli davranışlara eÅŸlenen” yapılandırma verilerini kullanan nispeten yeni bir tehdit algılama özelliÄŸini içerdiÄŸini söyledi. Åžirket, daha önce beklendiÄŸi gibi performans gösteren bu yapılandırma dosyalarının bütünlüğünü test ederken, CrowdStrike’ın söylediÄŸine göre 19 Temmuz’da dağıtılan dosyalardan biri “sorunlu içerik verileri içermesine raÄŸmen doÄŸrulamayı geçti” (bkz: CrowdStrike, Kod Test Hatalarının Kesintiyi ÖnleyemediÄŸini Söyledi).
Microsoft, Cumartesi günü yaptığı açıklamada, hatalı yazılım güncellemesi sonucunda yaklaşık 8,5 milyon Windows ana bilgisayarının (PC’ler, sunucular ve sanal makineler) çöktüğünü ve sonsuz bir yeniden baÅŸlatma döngüsüne girdiÄŸini söyledi.
Olay, en kârlı 500 halka açık ÅŸirketin dörtte birinin sistemlerini bozdu, bulut kesintisi risk modellemesi ve sigortalama ajansı Parametrix Solutions’ın tahminine göre, bu Fortune 500 ÅŸirketlerinin toplu olarak 5,4 milyar dolar doÄŸrudan kayıp göreceÄŸi hesaplandı. Bu, Parametrix’in olay nedeniyle “çok önemli maddi olmayan kayıplar” yaÅŸadığını ve kayıplarının tahmin edilmesini zorlaÅŸtırdığını söylediÄŸi Microsoft’u içermiyor (bkz: CrowdStrike Kesintisi Kayıpları SaÄŸlık ve Bankacılık Sektörünü Sert Vuracak).
Windows Servis ve Teslimatı BaÅŸkan Yardımcısı John Cable, PerÅŸembe günü yayınladığı blog yazısında, Microsoft’un “kritik hizmetlerin tekrar çevrimiçi hale getirilmesine yardımcı olmak için 7/24 çalışan 5.000’den fazla destek mühendisi” görevlendirdiÄŸini söyledi.
CrowdStrike, kalite güvence ve test süreçlerini elden geçirmeyi ve güncellemeleri tüm uç noktalara aynı anda deÄŸil, herhangi bir sorunu tespit etmek için aÅŸamalı bir ÅŸekilde göndermeyi içeren diÄŸer iyileÅŸtirmeleri yapmayı vaat etti. Åžirket ayrıca soruÅŸturmasını tamamladıktan sonra olayla ilgili tam bir “kök neden analizi” yayınlama sözü verdi.
Duruşmalar ve Soruşturmalar Yaklaşıyor
Kurtz, Kongre önünde ifade vermeye çaÄŸrılıyor ve en az bir yasa koyucu, ABD Siber Güvenlik Ä°nceleme Kurulu’ndan olayı araÅŸtırmasını istedi. 2021’de BaÅŸkan Joe Biden tarafından yetkilendirilen kamu-özel sektör CSRB’nin görevi “önemli siber olayları incelemek ve deÄŸerlendirmek ve özel ve kamu sektörlerinde iyileÅŸtirmeler saÄŸlayacak somut önerilerde bulunmaktır.”
Saldırganlar, kurtarma araçları gibi görünen kötü amaçlı dosyaları yayan kimlik avı saldırıları da dahil olmak üzere çeÅŸitli yollarla kesintiyi kendi avantajlarına çevirmeye çalışıyorlar. PerÅŸembe günü, CrowdStrike tespit edilen son saldırı giriÅŸimlerinden birinin “bir Alman kuruluÅŸunu taklit eden bir web sitesi aracılığıyla sahte bir CrowdStrike Crash Reporter yükleyicisi” sunmak için tasarlanmış kimlik avı saldırıları içerdiÄŸini söyledi.
Ãœcretsiz Kahve – Ya Da DeÄŸil
Birçok analist ve siber güvenlik uzmanı, firmanın olaya karşı şeffaf ve açık sözlü tepkisini överek, bunun müşteri ve potansiyel müşteri kaybını en aza indireceğini söyledi.
Yine de ÅŸirket, TechCrunch’ın ilk bildirdiÄŸi gibi, çalışanlarına ve iÅŸ ortaklarına 10$ deÄŸerinde Uber Eats kupon kodları e-postayla gönderdikten sonra tepkiyle karşı karşıya. CrowdStrike, e-postalarda “Minnettarlığımızı ifade etmek için, bir sonraki fincan kahveniz veya gece yarısı atıştırmalığınız bizden!” yazarak alıcıları dahil edilen kupon kodunu kullanmaya yönlendirdi.
Birçok kiÅŸi sosyal medyada kodların çalışmadığını bildirdi. CrowdStrike özür diledi ve “müşterilere veya danışanlara hediye çeki göndermediÄŸini” söyledi, bir sözcü. “Bunları, müşterilere bu durumda yardımcı olan takım arkadaÅŸlarımıza ve ortaklarımıza gönderdik. Uber, yüksek kullanım oranları nedeniyle bunu dolandırıcılık olarak iÅŸaretledi.”
Bazıları bu hareketi tamamen sorguladı. “Bir fincan kahve veya Uber Eats kredisi özür olarak jesti, 19 Temmuz olayından dolayı kaybedilen on binlerce saatlik adam-saat ve müşteri güvenini telafi etmiyor gibi görünüyor,” dedi bir iÅŸ ortağı için çalıştığını ve kuponlardan birini aldığını söyleyen bir kiÅŸi.