CrowdStrike, çok sayıda Windows sisteminin Mavi Ekran (BSOD) sorunuyla karşılaşmasına ve sistemin çalışmaz hale gelmesine neden olan sorunlu bir güncelleme için bir düzeltme yayınladı.
Mac veya Linux ana bilgisayarlarını etkilemeyen bu sorun, bir güvenlik olayı veya siber saldırının sonucu değil, Windows ana bilgisayarları için tek bir içerik güncellemesindeki bir kusurdan kaynaklanıyordu.
Yayımlanan Düzeltmeler
Sorun, Falcon Sensör güncellemesinden, özellikle de 0409 UTC zaman damgasına sahip “C-00000291*.sys” kanal dosyasından kaynaklanıyordu ve bu da sistemlerin BSOD hatasıyla çökmesine neden oluyordu.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
CrowdStrike’ın mühendislik ekibi sorunu hızla tespit edip izole etti, değişiklikleri geri aldı ve bir düzeltme dağıttı. Artık 0527 UTC veya daha sonraki bir zaman damgasına sahip “C-00000291*.sys” olan güncellenmiş kanal dosyası, hatanın daha fazla tekrarlanmasını önlemelidir.
Etkilenmeyen sistemler için herhangi bir işlem yapılmasına gerek yoktur ve 0527 UTC’den sonra çevrimiçi hale getirilen sistemler de etkilenmeyecektir.
Etki ve Azaltma Adımları
Hatalı güncelleme bankalar, havayolları, süpermarketler ve televizyon yayıncıları gibi çeşitli sektörleri önemli ölçüde etkileyerek yaygın kesintilere neden oldu.
BT yöneticilerine, sorunlu sürücü dosyasını silmek için etkilenen sistemleri Güvenli Mod’da veya Windows Kurtarma Ortamı’nda manuel olarak başlatmaları önerildi. Bu geçici çözüm, etkili olsa da, genellikle makinelere fiziksel erişim gerektiriyordu ve BitLocker gibi disk şifreleme araçları tarafından karmaşık hale getirilebiliyordu.
Bireysel sunucular için CrowdStrike aşağıdaki adımları sağladı:
- Windows’u Güvenli Mod’da veya Windows Kurtarma Ortamı’nda başlatın.
- C:\Windows\System32\drivers\CrowdStrike dizinine gidin.
- “C-00000291*.sys” ile eşleşen dosyayı bulun ve silin.
- Bilgisayarı normal şekilde başlatın.
Genel Bulut Ortamları için Geçici Çözüm
Seçenek 1:
- Etkilenen sanal sunucudan işletim sistemi disk birimini ayırın
- İstenmeyen değişikliklere karşı önlem olarak, daha fazla ilerlemeden önce disk biriminin bir anlık görüntüsünü veya yedeğini oluşturun
- Birimi yeni bir sanal sunucuya bağlayın/yükleyin
- %WINDIR%\System32\drivers\CrowdStrike dizinine gidin
- “C-00000291*.sys” ile eşleşen dosyayı bulun ve silin.
- Birimi yeni sanal sunucudan ayırın
- Sabit birimi etkilenen sanal sunucuya yeniden bağlayın
Seçenek 2:
- 0409 UTC’den önceki bir anlık görüntüye geri dön.
CrowdStrike ayrıca AWS, Azure ve Bitlocker kurtarma sorunlarını gidermek için de çözümler sağladı.
Olay, güvenlik yazılımlarına yönelik otomatik güncellemelerle ilişkili riskleri vurguluyor ve titiz testler ile aşamalı dağıtım politikalarına olan ihtiyacın altını çiziyor.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.