Artık çoğu kişi, dünyanın şimdiye kadar tanık olduğu en büyük BT kesintisinin farkındadır veya bundan kişisel olarak etkilenmiştir. Bu kesinti, Crowdstrike Falcon Sensörleri için yapılan hatalı bir güncelleme nedeniyle Windows ana bilgisayarlarını mavi ekran ölüm (BSOD) döngüsüne sokmuştur.
Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Başkan Yardımcısı David Weston Cumartesi günü yaptığı açıklamada, “Şu anda CrowdStrike güncellemesinin 8,5 milyon Windows cihazını veya tüm Windows makinelerinin yüzde birinden daha azını etkilediğini tahmin ediyoruz. Yüzde küçük olsa da, geniş ekonomik ve toplumsal etkiler, birçok kritik hizmeti çalıştıran işletmeler tarafından CrowdStrike’ın kullanımını yansıtıyor” dedi.
CrowdStrike bugün erken saatlerde etkilenen sistemlerin “önemli bir kısmının” tekrar çevrimiçi ve çalışır durumda olduğunu iddia etti.
“Müşterilerle birlikte, etkilenen sistem iyileştirmesini hızlandırmak için yeni bir teknik test ettik. Bu tekniğe katılım seçeneğini operasyonel hale getirme sürecindeyiz,” diye belirttiler iyileştirme ve rehberlik merkezinde. “Müşteriler, en son güncellemeler için Teknoloji Uyarılarını takip etmeye teşvik ediliyor ve eylem gerektiğinde bilgilendirilecekler.”
Microsoft, Crowdstrike ile işbirliği yaparak kurtarma aracı sağlıyor
Microsoft, anlaşılabilir bir şekilde, sorundan dünya çapında kurtulmayı hızlandırmak için elinden gelen her şeyi yapıyor, hizmetleri geri yüklemek için müşterilerle birlikte çalışmak üzere yüzlerce Microsoft mühendisi ve uzmanını görevlendirdi ve CrowdStrike ile işbirliği yapıyor.
“CrowdStrike, Microsoft’un Azure altyapısının CrowdStrike’ın hatalı güncellemesi için bir düzeltmeyi hızlandırmasına yardımcı olacak ölçeklenebilir bir çözüm geliştirmemize yardımcı oldu. Ayrıca en etkili yaklaşımlar üzerinde iş birliği yapmak için hem AWS hem de GCP ile çalıştık,” diye açıkladı Weston.
Microsoft ayrıca, onarım sürecini daha az zaman alıcı hale getirmek için BT yöneticileri tarafından indirilip kullanılabilen bir kurtarma aracı da yayınladı.
Araç iki onarım seçeneği sunuyor.
İlki – WinPE’den (Ön Kurulum Ortamı) kurtarma – yerel yönetici ayrıcalıkları gerektirmez, ancak kişinin BitLocker kurtarma anahtarını manuel olarak girmesini gerektirir (cihazda BitLocker kullanılıyorsa).
İkinci olan – Güvenli moddan kurtarın – BitLocker kurtarma anahtarlarını girmeden kurtarmaya izin verebilir.
“Bu seçenek için, cihazda yerel yönetici haklarına sahip bir hesaba erişiminiz olması gerekir. Bu yaklaşımı yalnızca TPM koruyucuları kullanan cihazlar, şifrelenmemiş cihazlar veya BitLocker kurtarma anahtarının bilinmediği durumlar için kullanın,” diye belirtti Intune Destek Ekibi.
Ayrıca Hyper-V’de barındırılan Windows istemcileri, sunucuları ve işletim sistemleri için ayrıntılı kurtarma adımları da eklendi.
Microsoft daha önce hatalı CrowdStrike güncellemesinin Windows 365 Cloud PC’leri etkilediğini ve kullanıcıların “Windows 365 Cloud PC’lerini güncellemenin yayımlanmasından (19 Temmuz 2024) önce bilinen iyi bir duruma geri yükleyebileceklerini” doğruladı. Şirket ayrıca etkilenen Azure sanal makinelerini geri yüklemek için rehberlik sağladı.
Bulut güvenlik şirketi Orca, AWS üzerinde barındırılan Windows sanal makinelerinin onarımını otomatikleştiren bir betik yayınladı.
Tehdit aktörü durumu istismar ediyor
Beklendiği üzere dolandırıcılar ve tehdit aktörleri hatalı güncellemeden kaynaklanan kaos ortamından hemen yararlanmaya başladılar.
Trend Micro araştırmacıları, teknoloji desteği dolandırıcılıklarının ve hatta hukuki dolandırıcılıkların yaygınlaştığına dair örnekler verdi.
Durumu istismar eden bir teknik destek dolandırıcılığı (Kaynak: Trend Micro)
CrowdStrike şu konularda uyardı:
- Saldırganlar, Remcos uzaktan erişim aracını yükleyen kurtarmayı otomatikleştirmek için sahte bir yardımcı program sunuyor
- CrowdStrike desteğini taklit eden ve müşterilerle iletişime geçen dolandırıcılar ve visher’lar
- Bağımsız araştırmacı gibi davranan dolandırıcılar, teknik sorunun bir siber saldırıyla bağlantılı olduğuna dair kanıtları olduğunu iddia ediyor ve çözüm önerileri sunuyor
Şirket, “CrowdStrike Intelligence, kuruluşların CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurduklarından emin olmalarını öneriyor” dedi.