Siber güvenlik şirketi CrowdStrike tarafından yayınlanan hatalı bir güncelleme nedeniyle dünyanın dört bir yanındaki işletmeler Windows iş istasyonlarında yaygın kesintilerle karşı karşıya kaldı.
Şirketin CEO’su George Kurtz bir açıklamada, “CrowdStrike, Windows ana bilgisayarları için tek bir içerik güncellemesinde bulunan bir kusurdan etkilenen müşterilerle aktif olarak çalışıyor” dedi. “Mac ve Linux ana bilgisayarları etkilenmedi. Bu bir güvenlik olayı veya siber saldırı değil.”
“Raporları kabul eden şirket, [Blue Screens of Death] Windows ana bilgisayarlarında” sorunun tespit edildiğini ve Falcon Sensor ürünü için bir düzeltmenin dağıtıldığını belirten şirket, müşterilerini en son güncellemeler için destek portalına başvurmaya çağırdı.
Sorundan halihazırda etkilenen sistemler için azaltma talimatları aşağıda listelenmiştir –
- Windows’u Güvenli Modda veya Windows Kurtarma Ortamında başlatın
- C:\Windows\System32\drivers\CrowdStrike dizinine gidin
- “C-00000291*.sys” adlı dosyayı bulun ve silin
- Bilgisayarı veya sunucuyu normal şekilde yeniden başlatın
Kesintinin Google Cloud Compute Engine’i de etkilediğini, CrowdStrike’ın csagent.sys dosyasını kullanan Windows sanal makinelerinin çökmesine ve beklenmedik bir şekilde yeniden başlatılmasına neden olduğunu belirtmekte fayda var.
“CrowdStrike’tan otomatik olarak hatalı bir yama aldıktan sonra, Windows VM’leri çöküyor ve yeniden başlatılamıyor,” dedi. “Şu anda çalışır durumda olan Windows VM’leri artık etkilenmemeli.”
Microsoft Azure da benzer bir güncelleme yayınlayarak, “Bazı müşterilerden, etkilenen Sanal Makinelerde birden fazla Sanal Makine yeniden başlatma işlemi denemesinin başarılı bir şekilde kurtarıldığına dair raporlar aldıklarını” ve “birkaç yeniden başlatmanın (15’e kadar rapor edildi) gerekebileceğini” belirtti.
Amazon Web Services (AWS) ise sorunu mümkün olduğunca çok sayıda Windows örneği, Windows Çalışma Alanı ve Appstream Uygulaması için hafifletmek adına adımlar attığını belirterek, sorundan hâlâ etkilenen müşterilere “bağlantıyı geri yüklemek için harekete geçmelerini” önerdi.
Güvenlik araştırmacısı Kevin Beaumont, “Otomatik güncelleme yoluyla gönderdikleri CrowdStrike sürücüsünü edindim. Nasıl olduğunu bilmiyorum ama dosya geçerli biçimde biçimlendirilmiş bir sürücü değil ve Windows’un her seferinde çökmesine neden oluyor.” dedi.
“CrowdStrike en üst düzey EDR ürünüdür ve satış noktalarından ATM’lere kadar her yerde bulunmaktadır. Bu, büyük olasılıkla etki açısından dünya çapında şimdiye kadarki en büyük ‘siber’ olay olacaktır.”
Havayolları, finans kuruluşları, gıda ve perakende zincirleri, hastaneler, oteller, haber kuruluşları, demir yolu ağları ve telekomünikasyon şirketleri etkilenen birçok işletme arasında yer alıyor. CrowdStrike hisseleri ABD piyasa öncesi ticaretinde %15 düştü.
CyberArk’ın Bilgi Yöneticisi (CIO) Omer Grossman, The Hacker News ile paylaştığı bir açıklamada, “Mevcut olay, Temmuz ayında bile, bunun 2024’ün en önemli siber sorunlarından biri olacağı izlenimini veriyor” dedi. “Küresel düzeyde iş süreçlerine verilen zarar dramatik. Bu aksaklık, CrowdStrike’ın EDR ürününün bir yazılım güncellemesinden kaynaklanıyor.”
“Bu, uç noktaları koruyan yüksek ayrıcalıklarla çalışan bir üründür. Bu üründeki bir arıza, şu anki olayda gördüğümüz gibi, işletim sisteminin çökmesine neden olabilir.”
Grossman, sorunun uçtan uca tek tek, Güvenli Mod’da başlatılıp hatalı sürücünün kaldırılmasıyla çözülmesi gerektiğinden kurtarma işleminin günler sürmesinin beklendiğini belirterek, arızanın arkasındaki temel nedenin “son derece önemli” olacağını sözlerine ekledi.
Slovak siber güvenlik şirketi ESET’in küresel güvenlik danışmanı Jake Moore, The Hacker News’e yaptığı açıklamada, olayın birden fazla “hata önleme” sisteminin uygulanması ve BT altyapısının çeşitlendirilmesi ihtiyacını vurguladığını söyledi.
Moore, “Sistemlerde ve ağlarda yapılan yükseltmeler ve bakımlar, istemeden de olsa küçük hatalara yol açabilir ve bu hatalar, bugün CrowdStrike müşterilerinin yaşadığı gibi, geniş kapsamlı sonuçlara yol açabilir.” dedi.
“Bu olayın bir diğer yönü de büyük ölçekli BT altyapısının kullanımındaki ‘çeşitlilikle’ ilgilidir. Bu, işletim sistemleri (OS’ler), siber güvenlik ürünleri ve diğer küresel olarak dağıtılmış (ölçeklendirilmiş) uygulamalar gibi kritik sistemler için geçerlidir. Çeşitliliğin düşük olduğu yerlerde, bir güvenlik sorunundan bahsetmeye bile gerek yok, tek bir teknik olay, daha sonraki zincirleme etkilerle birlikte küresel ölçekte kesintilere yol açabilir.”
Bu gelişme, Microsoft’un Defender, Intune, OneNote, OneDrive İş, SharePoint Online, Windows 365, Viva Engage ve Purview dahil olmak üzere Microsoft 365 uygulamaları ve hizmetlerinde sorunlara neden olan ayrı bir kesintiden kurtulmaya çalışmasının ardından geldi.
Teknoloji devi, “Azure arka uç iş yüklerimizin bir kısmındaki yapılandırma değişikliği, depolama ve hesaplama kaynakları arasında kesintiye neden oldu ve bu da bu bağlantılara bağımlı olan alt akış Microsoft 365 hizmetlerini etkileyen bağlantı arızalarına yol açtı” dedi.
OpenSSF Genel Müdürü Omkhar Arasaratnam, Microsoft-CrowdStrike kesintilerinin tek kültürlü tedarik zincirlerinin kırılganlığını vurguladığını belirterek, daha fazla dayanıklılık ve güvenlik için teknoloji yığınlarında çeşitliliğin önemini vurguladı.
“Tek kültürlü tedarik zincirleri (tek işletim sistemi, tek EDR) doğası gereği kırılgandır ve sistemsel hatalara karşı hassastır – gördüğümüz gibi,” diye belirtti Arasaratnam. “İyi sistem mühendisliği bize bu sistemlerdeki değişikliklerin kademeli olarak uygulanması gerektiğini, etkilerinin küçük dilimler halinde değil, aynı anda gözlemlenmesi gerektiğini söyler. Daha çeşitli ekosistemler, sistemsel sorunlara karşı dayanıklı oldukları için hızlı değişime tolerans gösterebilirler.”