Loše CrowdStrike ažuriranje – globalni problemi

AUTOR ·

U svetu u kome se prijetnje sajber bezbjednosti stalno razvijaju, korisnici i organizacije se oslanjaju na napredna bezbjednosna rješenja za zaštitu svojih digitalnih sredstava. Jedno takvo rješenje je CrowdStrike Falcon, vrhunski softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji se intenzivno koristi u svim industrijama za obezbjeđenje kritične infrastrukture. Međutim, neočekivano ažuriranje ovog popularnog softvera izazvalo je rasprostranjene poremećaje, što je dovelo do toga da se mnoga preduzeća suočavaju sa značajnim zastojima i gubicima u produktivnosti.

CrowdStrike

Loše CrowdStrike ažuriranje – globalni problemi; Source: Bing Image Creator

CROWDSTRIKE AŽURIRANJE

CrowdStrike je vodeća firma za sajber bezbjednost koja impresivnoj klijenteli pruža zaštitu radnog opterećenja u oblaku, bezbjednost krajnjih tačaka, obavještajne podatke o prijetnjama i usluge odgovora na sajber napade. Osnovan 2011. godine CrowdStrike je eksponencijalno rastao tokom godina, a njegov softver je sada raspoređen na milionima krajnjih tačaka širom sveta.

Baza klijenata kompanije uključuje neke od najistaknutijih svjetskih organizacija, kao što su Amazon Web Services, Microsoft, eBay, Visa, AT&T i 82% administracije američkih država. Sa tako značajnim prisustvom u industriji, neophodno je razumjeti njihovu ulogu u globalnom tehnološkom ekosistemu i kako je njihovo ažuriranje softvera dovelo do široko rasprostranjenog haosa.

 

“CrowdStrike aktivno radi sa kupcima pogođenim defektom pronađenim u jednom ažuriranju sadržaja za Windows hostove. Mac i Linux hostovi nisu pogođeni. Ovo nije bezbjednosni incident ili sajber napad. Problem je identifikovan, izolovan i ispravka je primijenjena. Kupce upućujemo na portal za podršku za najnovija ažuriranja i nastavićemo da pružamo potpuna i stalna ažuriranja na našoj internet stranici. Dalje preporučujemo organizacijama da osiguraju da komuniciraju sa CrowdStrike predstavnicima preko zvaničnih kanala. Naš tim je u potpunosti mobilisan da osigura bezbjednost i stabilnost CrowdStrike klijenata.”

George Kurtz, CrowdStrike CEO

 

Analiza

Kompanija CrowdStrike je izdala ažuriranje softvera koje je dovelo do široko rasprostranjenog haosa u različitim industrijama i uslugama širom sveta. Ažuriranje je uticalo na Windows operativne sisteme izazivajući učitavanje plavog ekrana smrti (eng. Blue Screens of Death – BSOD), kod Mac uređaja je došlo do povećanja opterećenja procesora, ostavljajući Linux korisnike bez uticaja.

Kompanija je identifikovala i izolovala problem i primijenila rješenje. Međutim, šteta je već bila učinjena. CrowdStrike ažuriranje koje je trebalo da poboljša bezbjednosne karakteristike i riješi ranjivosti, umjesto toga je uvelo nove komplikacije koje su uticale na brojna preduzeća u sektorima kao što su avijacija, finansije, zdravstvo i tehnologija.

Pristup kompanije CrowdStrike se fokusira na jednog agenta fokusiranog na otkrivanje. Na prvi pogled, ovo bi moglo izgledati povoljno; međutim, to stvara složenost i potencijalne tačke neuspjeha. Agenti zahtijevaju instalaciju i održavanje softvera u različitim operativnim sistemima, dodajući slojeve zamršenosti bezbjednosnoj infrastrukturi. Štaviše, agenti mogu da djeluju i kao jedinstvena tačka ranjivosti – loše ažuriranje može da ugrozi cijelu mrežu, kao što je pokazao napad SolarWinds krajem 2020. godine.

Uticaj ovog problema je bio izuzetno dalekosežan, jer su velike korporacije poput Microsoft, American Airlines, Google Cloud, Sky News, Lufthansa, Delta Airlines, Prague Airport, Edinburgh Airport, zdravstveni sistemi Velike Britanije i Hrvatske su doživjeli probleme, dvije bolnice u sjevernim njemačkim gradovima Libeku i Kilu otkazale su operacije, došlo do prekida rada na Londonskoj berzi i tako dalje.

 

“Mnogi ljudi možda zahvaljuju Microsoftu za slučajni slobodan dan, ali bezbroj preduzeća pati zbog neuspjeha Microsoft i njihovih partnera da održe svoje usluge. Ovaj incident naglašava važnost da preduzeća temeljno istraže i provjere svoja rješenja za sajber bezbjednost pre implementacije. Microsoft očigledno nije uspio u ovom pogledu i svjedoci smo kaskade operativnih neuspjeha širom sveta kao rezultat.

Pouka ovdje je zaslijepljujuće očigledna: ulaganje u sajber bezbjednost nije samo nabavka najnovijih ili najpopularnijih alata, već i osiguranje da su ti alati pouzdani i otporni. Zbog toga preduzeća moraju dati prioritet rješenjima bez agenata kao što je MFA 2.0, koja smanjuju rizik od rasprostranjenih kvarova i obezbjeđuju otporniju odbranu.”

Al Lakhani, CEO of authentication company IDEE

 

REAKCIJA ZLONAMJERNIH AKTERA

CrowdStrike incident je privukao neželjenu pažnju zajednica zlonamjernih aktera na mračnom internetu. Nakon otkrića da je neispravno ažuriranje koje je pokrenuo CrowdStrike izazvalo pad Windows sistema i dovelo do značajnog uticaja na različite industrije, zlonamjerni akteri iskoristili su ovu priliku da pokrenu ciljane napade.

Forumi na mračnom internetu su puni diskusija o incidentu, dok napadači djele informacije o pogođenim kompanijama i sistemima, razmjenjuju tehnike eksploatacije i objavljuju liste ranjivih meta. Neki zlonamjerni akteri čak idu tako daleko da nude prilagođene usluge ili alate dizajnirane posebno da iskoriste ovu ranjivost. Ovi napadi mogu biti u rasponu od ransomware infekcija, ugrožavanja podataka, napada uskraćivanjem usluge (eng. denial-of-service – DoS) i drugih oblika sajber napada koji mogu dovesti do finansijskih gubitaka, oštećenja reputacije i potencijalnih regulatornih posljedica za pogođene organizacije.

 

PRIVREMENO RJEŠENJE

Da bi se umanjili rizici povezani sa ažuriranjima CrowdStrike softvera, nekoliko potencijalnih rješenja može se primijeniti kao privremeno riješenje:

 

Riješenje 1

Koristiti Safe Mode i obrisati problematične datoteke:

  1. Startovati Safe Mode,
  2. Na ekranu za oporavak kliknuti “See advanced repair options” onda “Troubleshoot” > “Advanced options” > “Startup Settings” > “Restart.”
  3. Nakon ponovnog pokretanja pritisnuti 4 ili F4,

Alternativa je brzo pritiskanje F8 tokom pokretanja sistema da se dobije pristup naprednim opcijama pokretanja sistema da bi se pokrenuo Safe Mode.

Pronaći i obrisati:

  1. Otvoriti Command Prompt (kao administrator) ili Windows PowerShell (kao administrator),
  2. Izabrati CrowdStrike direktorijum: cd C:\Windows\System32\drivers\CrowdStrike
  3. Pronaći datoteku: dir C-00000291*.sys
  4. Obrisati datoteku: del C-00000291*.sys

 

Riješenje 2

Koristiti Safe Mode i promijeniti ime CrowdStrike direktorijumu:

  1. Startovati Safe Mode,
  2. Otvoriti “See advanced repair options” na  ekranu za oporavak,
  3. Otići na “Troubleshoot” > “Advanced options” > “Startup Settings” > “Restart
  4. Nakon ponovnog pokretanja pritisnuti 4 ili F4,

Alternativa je brzo pritiskanje F8 tokom pokretanja sistema da se dobije pristup naprednim opcijama pokretanja sistema da bi se pokrenuo Safe Mode.

Promijeniti ime direktorijumu:

  1. Otvoriti Command Prompt u Safe Mode (kao administrator),
  2. Pronaći direktorijum: cd \windows\system32\drivers
  3. Promijeniti ime direktorijumu: ren CrowdStrike CrowdStrike_old

 

Riješenje 3

Koristiti editor sistemskih registara (eng. Registry Editor) za blokiranje CSAgent servisa.

  1. Startovati Safe Mode,
  2. Ponovo pokrenuti Windows i pritiskati F8 dok se ne pojavi “Advanced Boot Options
  3. Izabrati Safe Mode,

Promjene u editoru sistemskih registara:

  1. Otvoriti  Windows editor sistemskih registara (Win+R > regedit)
  2. Pronaći: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent
  3. Pronaći: Start entry i promijeniti vrijednost sa 1 na 4.
  4. Snimiti i ponovo pokrenuti uređaj.

Vrijednost 4 onemogućava startovanje servisa, dozvoljavajući normalno pokretanje Windows operativnog sistema.

 

[UPOZORENJE: Ovaj članak je informativnog karaktera sa ciljem da se poveća svest o događajima opisanim u tekstu iznad i da se preduzmu mjere predostrožnosti u skladu sa tim. Ponuđena riješenja je potrebno testirati u testnim okruženjima. Sajber Info Security blog nema nikakvu odgovornost za bilo kakve greške, nedostatke ili kvarove koji mogu nastati zbog primjene navedenih riješenja i ne može se smatrati odgovornim za bilo kakvu direktnu ili indirektnu štetu ili gubitke koji mogu nastati iz toga.]

 

ZAKLJUČAK

CrowdStrike ažuriranje služi kao poziv za buđenje za preduzeća da ponovo procjene svoje strategije sajber bezbjednosti i daju prioritet otpornim rješenjima koja mogu da izdrže neželjene posljedice.

Važnost temeljnog istraživanja i provjere rješenja za sajber bezbjednost pre implementacije ne može se precijeniti. U ovom slučaju, pogođena je i kompanija Microsoft koja nije uspjela da održi svoje usluge, što je dovelo do niza posljedica za preduzeća širom sveta. Incident služi kao važan podsjetnik da ulaganje u sajber bezbjednost prevazilazi nabavku najsavremenijih ili popularnih alata. Umjesto toga, ključno je obezbijediti da ova rješenja budu dovoljno pouzdana i robusna da izdrže okruženje prijetnji koje se stalno razvija.

Fokusiranjem na tehnologije bez agenata, održavanjem planova za vanredne situacije, negovanjem jakih partnerstava sa dobavljačima od povjerenja i obezbjeđivanjem jasne komunikacije tokom kriza, organizacije mogu bolje da se zaštite od potencijalnih prijetnji i minimiziraju uticaj budućih incidenata. U okruženju prijetnji koje se stalno razvija, preduzeća moraju ostati budna i prilagodljiva kako bi osigurala da njihova digitalna sredstva budu bezbjedna i otporna na neočekivane izazove.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.