Microsoft, Hatalı CrowdStrike Güncellemesinden 8,5 Milyon Sistemin Etkilendiğini Görüyor

Microsoft’un kurumsal ve işletim sistemi güvenliğinden sorumlu başkan yardımcısı David Weston, bir blog yazısında, bunun “tüm Windows makinelerinin %1’inden azını” temsil ettiğini söyledi.

Yine de, bu tarihin en büyük BT kesintisi gibi görünüyor. Weston, “Yüzde oranı küçük olsa da, geniş ekonomik ve toplumsal etkiler, birçok kritik hizmeti yürüten işletmelerin CrowdStrike’ı kullanmasını yansıtıyor,” dedi. Doktor muayenehaneleri ve hastaneler, bankalar ve borsalar, mağazalar, uçuş ve tren iptalleri şeklinde yüz binlerce yolcu, ayrıca kamu güvenliği endişeleri, sınır geçiş sorunları ve çok daha fazla kaos gibi büyük kesintilere yol açtı.

Pazartesi itibarıyla birçok kuruluş, kesintilerin azaldığını ancak ortaya çıkan birikmiş işleri halletmeye çalıştıklarını söyledi (bkz: CrowdStrike, Microsoft Kesintisi Büyük Dayanıklılık Sorunlarını Ortaya Çıkardı).

CrowdStrike’ın Cumartesi günü yayınladığı teknik detaylara göre kesintinin “tetikleyicisi” Cuma günü 04:09 UTC’de gerçekleşti. Bu saatte şirket, düzenli operasyonların bir parçası olarak müşterilerinin Falcon uç nokta algılama ve yanıt yazılımının tehdit algılama bileşenine güncellenmiş bir yapılandırma dosyası gönderdi. Dosya şu şekilde başlıyor: C-00000291- ve ile biter .sys ve bir çekirdek sürücüsü değil, şirketin sensörü için bir tehdit imza dosyasıdır.

“Sensör yapılandırma güncellemeleri Falcon platformunun koruma mekanizmalarının devam eden bir parçasıdır,” dedi satıcı. “Bu yapılandırma güncellemesi, etkilenen sistemlerde sistem çökmesine ve mavi ekrana – BSOD – neden olan bir mantık hatasını tetikledi,” “ölümün mavi ekranı” olarak bilinen Windows çökme hatasına atıfta bulundu. Şirket, hatalı dosyayı düzeltmek için hızla güncelledi ve etkilenen kuruluşların sonuçlarla başa çıkmasına yardımcı olmak için çalışıyor.

Şirket, LinkedIn’de Pazar günü yaptığı bir paylaşımda, “CrowdStrike, tüm sistemleri mümkün olan en kısa sürede geri yüklemeye odaklanmaya devam ediyor,” dedi. “Etkilenen yaklaşık 8,5 milyon Windows cihazının önemli bir kısmı tekrar çevrimiçi ve çalışır durumda.”

CrowdStrike şunları ekledi: “Linux veya macOS çalıştıran sistemler Channel File 291’i kullanmıyor ve etkilenmedi.”

Çok sayıda BT yöneticisi, etkilenen Windows sistemlerini geri yüklemek için hafta sonu boyunca aralıksız çalıştıklarını bildiriyor. En iyi bakım senaryolarında, Windows’un Kanal Dosyası 291’in kötü sürümünü otomatik olarak çıkarması için sistemlerin yalnızca yeniden başlatılması gerekir. Birçok Windows ana bilgisayarı için düzeltme daha karmaşıktır.

Reddit’te bir yöneticinin paylaştığı gönderide, “Yapılan iş göz alıcı değil: Binlerce ve binlerce BT uzmanı, kelimenin tam anlamıyla sistem sistem dolaşıp sorunlu dosyaları siliyor.” ifadeleri yer aldı.

Microsoft ise, “müşterilerle doğrudan çalışarak hizmetleri geri yüklemek için yüzlerce “mühendis ve uzmanını” görevlendirdiğini ve kurtarmayı hızlandırmak için Google Cloud Platform ve Amazon Web Services gibi diğer bulut sağlayıcılarıyla iletişim halinde olduğunu” söyledi.

Kurtarma devam ederken, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı kullanıcıları suçluların kesintiyi kendi lehlerine çevirme girişimlerine karşı uyardı, buna sosyal mühendislik saldırıları da dahildir. CISA, “Siber tehdit aktörleri, kimlik avı girişimleri de dahil olmak üzere kötü amaçlı faaliyetler yürütmek için kesintiyi kullanmaya devam ediyor” dedi (bkz: Sahte Web Siteleri, Kimlik Avı Wake CrowdStrike Kesintisinde Ortaya Çıktı).

Tam İyileşme Hala Bekleniyor

Uzmanlar, etkilenen tüm sistemlerin tamamen kurtarılmasının haftalar alabileceğini söyledi.

Bazı araçlar ve geçici çözümler, CrowdStrike kullanan kuruluşların en azından bir kısmı için süreci hızlandırmaya yardımcı oluyor gibi görünüyor.

Pazar günü, Microsoft – CrowdStrike ile birlikte çalışarak – Windows istemcileri ve sunucularının yanı sıra önyüklenebilir bir USB sürücüsü içeren Hyper-V sanal makineleriyle çalışmak üzere tasarlanmış güncellenmiş bir kurtarma aracı yayınladı. Microsoft’un indirme merkezinden kurtarma aracının imzalı bir sürümünü indirin. Microsoft, yöneticilerin “üretilen USB aygıtının kullanılacağı her BitLocker etkin etkilenen aygıt için bir BitLocker kurtarma anahtarına” ihtiyaç duyacağını söyledi.

Araç iki olası kurtarma seçeneği sunuyor:

• Windows Ön Kurulum Ortamı: İşletim sisteminin bu hafif Windows PE sürümü onarımlar yapmak için tasarlanmıştır ve yerel yönetici ayrıcalıkları gerektirmez, ancak Microsoft’un açıklamasına göre “cihaz BitLocker kullanıyorsa, etkilenen sistemi onarabilmeniz için BitLocker kurtarma anahtarını manuel olarak girmeniz gerekebilir.”
• Güvenli mod: Microsoft, “Güvenli moddan kurtarma seçeneği, BitLocker kurtarma anahtarlarının girilmesini gerektirmeden BitLocker etkin aygıtlarda kurtarmayı etkinleştirebilir,” dedi. “Cihazda yerel yönetici haklarına sahip bir hesaba erişmeniz gerekir.” Bu, sistemi korumak için Güvenilir Platform Modülü kullanan aygıtlarda işe yarayacaktır, ancak bir kullanıcı ayarlanmışsa TPM PIN kodunu girmek zorunda kalabilir. Şifrelenmiş disklerde işe yaramayacaktır.

Siber güvenlik uzmanı Brian Honan, sosyal platform Mastodon’a yaptığı açıklamada, “Cihaz şifrelenmişse bu araç bunu aşamayacak” dedi.

Bu nedenle, siber güvenlik uzmanlarının uzun zamandır önerdiği gibi tam disk şifrelemesi kullanacak şekilde yapılandırılmış sistemler için kurtarma süreci genellikle çok daha zahmetli ve sinir bozucudur. Kesin gereksinimler, kullanılan BT yönetim yazılımının türüne, hangi tür tam disk şifrelemesinin uygulandığına ve daha fazlasına bağlı olarak değişebilir.

Birçok kullanıcı için, BitLocker kurtarma anahtarının bir kopyası varsayılan olarak Microsoft hesaplarına kaydedilmiş olacaktır ve genellikle akıllı telefonları olan farklı bir bilgisayardan hesaba giriş yaparak erişilebilir. Bazı durumlarda, yöneticiler BitLocker anahtarlarının listelerini de derleyebilir. Bir sonraki adım, BT personelinin her sistemi bizzat başlatmasını, Microsoft yardımcı programını çalıştıran bir USB anahtarı kullanmasını ve ardından sistem başına BitLocker kurtarma anahtarını girmesini içerecektir.

Bazı yöneticiler, kendi ortamlarında kurtarma sürecini hızlandırmanın yollarını bulmada başarılı olduklarını bildiriyorlar; örneğin, ağa bağlı sistemler için Önyükleme Öncesi Yürütme Ortamı kullanarak ve son kullanıcıları dahil ederek.

“Bu olaydan hala etkilenen BitLocker’lı makinelerde son kullanıcı self servisini etkinleştirmek için bir Komut Dosyası + İşlem oluşturdum,” diye yazdı bir yönetici Reddit’e. “Bu, son kullanıcılarınıza PXE önyüklemesi için talimatlar göndermenize ve ardından PC’leri otomatik olarak BitLocker’ı açacak + sorunu işletim sistemi biriminde düzeltecek ve onları çalışan bir işletim sistemine geri başlatacak bir görev dizisi çalıştırırken bir dakika beklemenize olanak tanır.”

Hızlandırılmış Teknik Söz Verildi

Zaman kazandırıcı başka yaklaşımlar da gelecek mi?

Pazar günü CrowdStrike, müşterileriyle test ettiği “etkilenen sistem iyileştirmesini hızlandırmak için yeni bir tekniğin” yayınlanmasının ön izlemesini yaptı. “Bu tekniğe katılım seçeneğini işlevselleştirme sürecindeyiz. Dakika dakika ilerleme kaydediyoruz.”

CrowdStrike Pazartesi günü, yöneticilere hala hatalı sensör yapılandırması güncellemesine sahip tüm Windows ana bilgisayarlarını tanımlama yeteneği vermek için yönetim yazılımını daha da güncelledi. Bu görünüme erişmek için CrowdStrike panosuna erişmeniz ve ardından şuraya gitmeniz gerektiğini söyledi: Next-Gen SIEM > Log management > Dashboards.

Bazı yöneticiler, panonun çeşitli yinelemelerinin güvenilir sonuçlar döndürmediğini bildiriyor. Bunun bir nedeni de, panonun dahil olabilecek çeşitli sistem türlerinin eksik bir şekilde kataloglanması gibi görünüyor.

“Bu özel pano olayının değişmesini kesinlikle durdurmasını isterdim,” diye yazdı bir yönetici Reddit’e. “Bu durumla ilgili sayıları bildirmem isteniyor ve artıyor, azalıyor, tekrar artıyor.”

Yönetici şunları ekledi: “Bu ürün işimde itibarımı lekelediğinde (haklı veya haksız) ve tutarlı ölçümler bile üretemediğimde bu zor oluyor.”