Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
CrowdStrike, Falcon Sensörü için Arızalı Yazılım Güncellemesini Doğruladı, Çözüm Yolunu Detaylandırdı
Prajeet Nair (@prajeetskonuşuyor), Mathew J. Schwartz (euroinfosec) •
19 Temmuz 2024
Bankalar, havayolları, büyük medya şirketleri ve diğerleri, Windows PC’lerden kaynaklanan küresel bir BT kesintisi nedeniyle iş kesintileri yaşıyor.
Ayrıca bakınız: Splunk, SIEM için Gartner® Magic Quadrant™’da 10 Kez Lider Olarak Adlandırıldı
Güvenlik ve BT uzmanları, kesintinin Austin, Teksas merkezli siber güvenlik firması CrowdStrike tarafından yayınlanan hatalı bir Falcon yazılım güncellemesinden kaynaklandığını ve bu güncellemenin Windows sistemlerinde korkunç “mavi ölüm ekranı” sorununa yol açtığını bildirdi.
CrowdStrike kesintilerin farkında olduğunu söyledi. CrowdStrike’ın telefon destek hattında önceden kaydedilmiş bir mesajda, “CrowdStrike, Windows’ta “Falcon sensörüyle ilgili” görünen çökme raporlarının farkındadır” denildi, Sky News bildirdi.
Microsoft, kesintilerin Perşembe günü ABD Doğu Saati ile akşam 6 civarında başladığını ve Microsoft 365 kesintileri de dahil olmak üzere “azaltma önlemleri” aldığını söyledi. Dünya çapında çok sayıda başka kuruluş da kesintiler bildirdi.
CrowdStrike, Cuma sabahı hatalı yazılım güncellemesi için daha sağlam bir düzeltme hazırlarken bir geçici çözüm yolu açıkladı.
“CrowdStrike ekibi, küresel bir siber savunma şirketi olarak sorumluluklarını ciddiye alıyor. Orada hizmetleri geri yüklemek ve bu sorunu düzeltmek için çok çalışan insanlar tanıyorum,” dedi Cyjax’ın CISO’su Ian Thornton-Trump. “Ancak bu, güvendiğimiz dijital altyapının kırılgan olduğunu herkese hatırlatmaya yarıyor. BT ve siber güvenlik savunmalarının koruyucuları olarak dayanıklılık hakkında konuşmalar yapmamız gerekiyor. Size ‘kötü satıcı güncellemesi’nin bir olay müdahale kılavuzunun parçası olmadığını söyleyebilirim, Pazartesi günü olmalı.”
South China Morning Post’un haberine göre, yaşanan aksaklıklar nedeniyle Birleşik Krallık, AB, Malezya, Hindistan ve diğer ülkelerdeki birçok havalimanında uçuş gecikmeleri veya iptalleri yaşandı. Hong Kong Uluslararası Havalimanı’nda ise personelin yolcuların check-in işlemlerini manuel olarak yapmaya başlamasıyla “kaos ortamı” yaşandı.
Amerika Birleşik Devletleri’nde Federal Havacılık İdaresi, Delta, United ve American Airlines dahil olmak üzere büyük havayollarının iletişim sorunları nedeniyle yerde kaldığını bildirdi. Avustralya’da, havaalanı yolcuları Sidney Havaalanı’ndaki uçuş bilgisi ekranlarının boş olduğunu, süpermarket zincirleri Woolworths ve Coles’taki self servis ödeme sistemlerinin ise hata mesajları gösterdiğini bildirdi.
Avustralya’nın ulusal yayın kuruluşu ABC ve Network Ten’in yanı sıra ülkenin Bendigo ve Adelaide Bank yayınlarında da kesintiler yaşandığı bildirildi.
Sky News’in de kesintiler yaşadığını, bunların arasında İngiltere veya Avustralya’da “bu sabah canlı TV yayını yapamama” da olduğunu söyleyen yönetim kurulu başkanı David Rhodes, sosyal medya platformu X’e yaptığı bir paylaşımda şöyle dedi: “Tüm hizmetleri geri yüklemek için çok çalışıyoruz.”
CrowdStrike Falcon’un tüm sürümleri etkilenmedi. “7.15 ve 7.16 sürümlerini çalıştıran tüm işletmelerin kesintiden etkilendiğini anlıyoruz, ancak 7.17’nin sorunsuz olduğu görülüyor,” dedi Avustralyalı siber güvenlik hizmetleri firması StickmanCyber’ın CEO’su Ajay Unni.
CrowdStrike Ayrıntıları Geçici Çözüm
Birçok BT yöneticisi CrowdStrike destek ekibinden bu geçici çözümü aldıklarını bildiriyor:
- Windows’u Güvenli Mod’da veya Windows Kurtarma Ortamı’nda başlatın;
- Şuraya gidin:
C:/Windows/System32/drivers/CrowdStrikedizin; - Eşleşen dosyayı bulun
C-00000291*sysve silin; - Bilgisayarı normal şekilde başlatın.
Teoride bu iyi olabilir ancak otomatikleştirilemediği için geçici çözümün ölçekte uygulanması zor olacaktır, diyor İngiliz siber güvenlik uzmanı Kevin Beaumont Mastodon’a yazdığı bir gönderide. Ayrıca, dosyayı silmenin ne gibi bir etkisi olabileceği – örneğin, Falcon sensörünün kötü amaçlı kodu algılama veya engelleme yeteneğini tehlikeye atıp atmayacağı – belirsizliğini koruyor.
“CrowdStrike olayının etkisini merak eden varsa – bu gerçekten kötü. Makineler önyükleme yapmıyor,” dedi. “Temel olarak CrowdStrike çok zor durumda kalacak.”
StickmanCyber’dan Unni, “BT güvenlik araçlarının hepsi, şirketlerin veri ihlali gibi en kötü senaryoda bile faaliyetlerini sürdürebilmelerini sağlamak için tasarlanmıştır, bu nedenle küresel bir BT kesintisinin temel nedeni olmak, telafisi mümkün olmayan bir felakettir” dedi.
Birçok BT destek ekibi, kesintilerle başa çıkmak için olay yanıt planları uyguladıklarını veya en azından ciddi fazla mesaiye hazırlık yaptıklarını bildirdi. Bazı BT yöneticileri, geçici çözümler ve CrowdStrike’ın dayatabileceği herhangi bir güncellemenin potansiyel etkinliği hakkında tavsiye almak için mesaj panolarına yöneldi.
“Windows Sunucularımın %40’ı ve istemci bilgisayarlarımın %70’i önyükleme döngüsünde takılı kaldı (toplamda 1.000’den fazla uç nokta), bir tanesi r/crowdStrike subreddit. “CrowdStrike’ın bunu düzeltebileceğini sanmıyorum, değil mi? Ne tür yeni bir ajan çıkarırlarsa çıkarsınlar, bu uç noktalar tarafından alınmayacak çünkü henüz önyüklemeyi bile bitirmediler.”
“Burada Filipinler’de, özellikle de benim işverenimde, Thanos parmaklarını şıklatmış gibi,” diye yazdı bir diğeri. “Tüm organizasyonun yarısı BSOD döngüsü nedeniyle kapalı. Saat 14:00’te başladı ve hala devam ediyor. Ne cuma.”
Birçok kişi, bazı durumlarda yüz yüze ekipler tarafından çok sayıda bilgisayarın derhal güncellenmesi gerektiğini bildiriyor.
“Tüm BT personeliyle birlikte 15 siteye bir hafta sonu gezisi planlıyorum ve sistemleri tek tek devreye sokacağım. Çok komik,” yaklaşık 200 Windows PC’yi denetleyen Avustralyalı bir BT yöneticisi Mastodon’a gönderdiği bir gönderide, her sistemin BitLocker tüm disk şifrelemesini ve yerel bir yönetici parolası çözümünü kullandığını belirtti.
“Yüzde 100 bitlocker ve LAPS’liyiz, bu yüzden dosyayı silmek için her makineyi elle uyandırmam gerekiyor, bildiğim kadarıyla,” dedi yönetici. “Daha iyi bir yol konusunda tavsiye almaktan mutluluk duyarım.”
Diğerleri de etkilenen sistemlerle başa çıkmak için BT’nin klavyelere el atması gerektiğini bildirdi. “Tüm iş bilgisayarlarımız belirli hükümet sözleşmesi gereksinimleri (danışmanlık) için bitlocker kullanıyor. Bu nedenle hiçbir çalışan bitlocker kurtarma anahtarına sahip olmayacağı için resmi geçici çözümü kendi başına yapamaz,” diye yazdı başka bir BT yöneticisi r/sysadmin subreddit. “Sanırım hafta sonu da böylece bitti.”
Güvenlik uzmanları, kesintinin Windows ortamlarındaki olası tekil arıza noktaları hakkında ciddi soruları gündeme getirmesi gerektiğini söyledi.
“Bunu sadece ortaya atacağım, ama belki de – sadece belki de – bir satıcının, BT/son kullanıcıların onayı olmadan aynı anda tüm çekirdek sürücülerini sahada değiştirme yetkisine sahip olması, yeniden gözden geçirmemiz gereken bir modeldir… @CrowdStrike,” Uygulamalı Ağ Güvenliği Enstitüsü’nde öğretim görevlisi ve eski Ulusal Güvenlik Ajansı elit bilgisayar korsanlığı ekibi üyesi olan Jake Williams, X’e yazdığı bir gönderide böyle söyledi.
Gelişen hikayeyle ilgili güncellemeler için bizi izlemeye devam edin.