Dünya çapında yüzlerce, hatta milyonlarca Windows bilgisayar ve sunucu, Crowdstrike Falcon Sensörlerinin hatalı bir güncellemesi nedeniyle çalışmaz hale geldi ve kesinti, Avrupa, Avustralya, ABD ve diğer yerlerdeki ulaşım, yayıncılık, finans, perakende ve diğer kuruluşları etkiledi.
Sky News İngiltere’de yayından kaldırıldı; Delta, United ve American Airlines ise dünya genelinde uçuşlarını durdurdu.
Ne oldu?
İlk başta Microsoft’un bir sorunu gibi görünen sorunun, artık Crowdstrike, yani onun uç nokta güvenlik aracısı tarafından yaratıldığı doğrulandı.
Hatalı çalışan güncelleme, Windows ana bilgisayarlarını Crowdstrike’ın da önerdiği gibi şu şekilde kesintiye uğratılabilen bir mavi ekran (BSOD) döngüsüne sokuyor:
1. Windows’u Güvenli Mod’da veya Windows Kurtarma Ortamında Başlatma
2. Gezinme C:\Windows\System32\sürücüler\CrowdStrike dizin
3. “C-00000291*.sys” ile eşleşen dosyayı bulup silin, ardından
4. Ana bilgisayarı normal şekilde başlatın.
Ne yazık ki, birçok durumda bunun yerel bir yönetici hesabı üzerinden gerçekleştirilmesi gereken manuel bir müdahale olması gerekecek ve Windows PC iş istasyonlarından oluşan büyük filolara sahip şirketlerde bunları geri yüklemek biraz zaman alacak – ve Cuma günü de. Görünüşe göre BT/destek ekipleri hafta sonu boyunca çalışmak zorunda kalacak.
Crowdstrike, ne olduğunu görmek için “kötü” güncellemeyi analiz ediyor olmalı ve güvenlik araştırmacıları da aynısını yapmaya çalışıyor.
Kesintinin nedeninin basit bir kodlama hatası (fark edilmeyen tedarik zinciri ihlali nedeniyle kasıtlı bir sabotaj değil) olma ihtimali yüksek olsa da, CIA üçlüsünün bir bileşenini (erişilebilirlik) etkilemiş ve bu da aslında bir bilgi güvenliği sorunu haline gelmiştir.