از کار انداختن سیستم‌های ویندوز توسط به‌روزرسانی معیوب CrowdStrike

کسب‌وکارها در سراسر جهان تحت تأثیر اختلالات گسترده در ایستگاه‌های کاری ویندوزی خود قرارگرفته‌اند که ناشی از یک به‌روزرسانی معیوب توسط شرکت امنیت سایبری CrowdStrike است.

جورج کورتز، مدیرعامل این شرکت در بیانیه‌ای[۱] گفت[۲]: «CrowdStrike فعالانه با مشتریانی که تحت تأثیر نقصی که در یک به‌روزرسانی محتوا برای میزبان‌های ویندوز یافت شده است، کار می‌کند. سیستم‌های دارای مک و لینوکس تحت تأثیر قرار نمی‌گیرند. این یک حادثه امنیتی یا حمله سایبری نیست.”

این شرکت که “گزارش‌های [صفحه‌های آبی مرگ[۳]] روی میزبان‌های ویندوز را تائید کرده است[۴]“، همچنین گفت که این مشکل را شناسایی کرده و راه‌حلی برای محصول Falcon Sensor خود اعمال کرده است و از مشتریان می‌خواهد برای آخرین به‌روزرسانی‌ها به پورتال پشتیبانی مراجعه کنند.

برای سیستم‌هایی که قبلاً تحت تأثیر این مشکل قرارگرفته‌اند، دستورالعمل‌های زیر فهرست شده‌اند:

• ویندوز را در حالت Safe Mode یا Windows Recovery Environment بوت کنید.
• به دایرکتوری C:\Windows\System32\drivers\CrowdStrike بروید.
• فایلی با نام “C-00000291*.sys” را پیداکرده و آن را حذف کنید.
• کامپیوتر یا سرور را به‌طورمعمول ریستارت کنید.

شایان‌ذکر است که این قطعی بر موتور محاسبات ابری گوگل نیز تأثیر گذاشته است و باعث می‌شود ماشین‌های مجازی ویندوزی که از csagent.sys CrowdStrike استفاده می‌کنند از کار بیفتند و به حالت راه‌اندازی مجدد غیرمنتظره بروند.

پس از دریافت خودکار یک وصله معیوب از CrowdStrike، ماشین‌های مجازی ویندوز از کار می‌افتند و نمی‌توانند راه‌اندازی مجدد شوند[۵]. ویندوزهای مجازی که در حال حاضر در حال اجرا هستند، دیگر نباید تحت تأثیر قرار گیرند.

Microsoft Azure نیز آپدیت مشابهی[۶] را منتشر کرده است[۷] و بیان می‌کند که “گزارش‌هایی مبنی بر بازیابی موفقیت‌آمیز از برخی مشتریان دریافت کرده است که چندین عملیات راه‌اندازی مجدد ماشین مجازی در ماشین‌های مجازی آسیب‌دیده را انجام می‌دهند” و اینکه “ممکن است چندین راه‌اندازی مجدد (تا ۱۵ مورد گزارش‌شده است) موردنیاز باشد.”

خدمات وب آمازون (AWS) به‌نوبه خود گفت[۸] که اقداماتی را برای کاهش این مشکل برای هرچه بیشتر نمونه‌های ویندوز، فضاهای کاری ویندوز و برنامه‌های Appstream انجام داده است و به مشتریانی که هنوز تحت تأثیر این مشکل هستند توصیه می‌کند “برای بازگرداندن اتصال اقدام کنند.”

محقق امنیتی کوین بومونت گفت[۹]: “من درایور CrowdStrike را که آن‌ها از طریق به‌روزرسانی خودکار فشار داده بودند به دست آوردم. نمی‌دانم چگونه این اتفاق افتاد، اما فایل یک درایور فرمت شده معتبر نیست و هر بار باعث خرابی ویندوز می‌شود.”

“CrowdStrike بالاترین سطح EDR محصول است و در همه‌چیز از محل فروش گرفته تا دستگاه‌های خودپرداز و غیره وجود دارد – به‌احتمال‌زیاد، این بزرگ‌ترین حادثه “سایبری” در سراسر جهان خواهد بود که ازنظر تأثیرگذاری تابه‌حال بوده است.”

خطوط هوایی، مؤسسات مالی، زنجیره‌های غذایی و خرده‌فروشی، بیمارستان‌ها، هتل‌ها، سازمان‌های خبری، شبکه‌های راه‌آهن و شرکت‌های مخابراتی ازجمله[۱۰] بسیاری[۱۱] از کسب‌وکارهایی[۱۲] هستند که آسیب‌دیده‌اند. سهام CrowdStrike در معاملات پیش از بازار ایالات‌متحده ۱۵ درصد کاهش یافته است.

این شرکت مستقر در تگزاس، که به بیش از ۵۳۰ شرکت در ۱۰۰۰ نمایندگی خدمات ارائه می‌دهد، نرم‌افزار تشخیص و پاسخ نقطه پایانی (EDR[13]) را توسعه می‌دهد که به هسته سیستم‌عامل دسترسی قوی و ممتاز[۱۴] داده می‌شود تا تهدیدات امنیتی را پرچم گذاری و مسدود کند. بااین‌حال، این دسترسی همچنین به آن‌ها قدرت‌های گسترده‌ای می‌دهد تا سیستم‌هایی را که می‌خواهند ایمن کنند، مختل کنند.

Omer Grossman، مدیر ارشد اطلاعات (CIO) CyberArk در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شده است، گفت: “رویداد فعلی – حتی در ماه جولای – به نظر می‌رسد که یکی از مهم‌ترین مسائل سایبری سال ۲۰۲۴ خواهد بود. آسیب به فرآیندهای تجاری در سطح جهانی بسیار چشمگیر است. این نقص به دلیل به‌روزرسانی نرم‌افزاری محصول EDR CrowdStrike است.”

“این محصولی است که با امتیازات بالایی اجرا می‌شود و از نقاط پایانی محافظت می‌کند. یک نقص در این، همان‌طور که در حادثه فعلی مشاهده می‌کنیم، می‌تواند باعث ازکارافتادن سیستم‌عامل شود.”

گروسمن خاطرنشان کرد: انتظار می‌رود که بازیابی چند روز طول بکشد زیرا مشکل باید به‌صورت دستی، نقطه‌به‌نقطه پایان، با راه‌اندازی آن‌ها در حالت ایمن و حذف درایور باگ حل شود، گروسمن خاطرنشان کرد که علت اصلی این نقص utmost interest خواهد بود.”

جیک مور، مشاور امنیت جهانی در شرکت امنیت سایبری اسلواکی ESET، به هکر نیوز گفت که این حادثه نیاز به پیاده‌سازی چندین fail safes در محل و تنوع زیرساخت‌های فناوری اطلاعات را برجسته می‌کند.

مور گفت: «به‌روزرسانی و نگهداری سیستم‌ها و شبکه‌ها می‌تواند ناخواسته شامل خطاهای کوچکی باشد، که می‌تواند پیامدهای گسترده‌ای داشته باشد، همان‌طور که امروزه مشتریان CrowdStrike تجربه می‌کنند.»

یکی دیگر از جنبه‌های این حادثه به «تنوع» در استفاده از زیرساخت‌های فناوری اطلاعات در مقیاس بزرگ مربوط می‌شود. این امر در مورد سیستم‌های حیاتی مانند سیستم‌های عامل (OS)، محصولات امنیت سایبری و دیگر برنامه‌های کاربردی (مقیاس‌شده) در سطح جهانی اعمال می‌شود. درجایی که تنوع کم است، تنها یک حادثه فنی، بدون ذکر یک مشکل امنیتی، می‌تواند منجر به قطعی در مقیاس جهانی با اثرات ضربه‌ای بعدی شود.”

این توسعه زمانی انجام می‌شود که مایکروسافت در حال بهبودی از یک قطعی جداگانه است که باعث ایجاد مشکلاتی در برنامه‌ها و سرویس‌های مایکروسافت ۳۶۵ ازجمله Defender، Intune، OneNote، OneDrive for Business، SharePoint Online، Windows 365، Viva Engage و Purview شده است.

این غول فناوری گفت[۱۵]: “تغییر پیکربندی در بخشی از workload  های Azure، باعث وقفه بین منابع ذخیره‌سازی و محاسباتی شد که منجر به خرابی در اتصال شد که خدمات پایین‌دستی مایکروسافت ۳۶۵ وابسته به این اتصالات را تحت تأثیر قرارداد.”

امخار آراساراتنام، مدیرکل OpenSSF، گفت که قطعی مایکروسافت-CrowdStrike بر شکنندگی زنجیره‌های تأمین Monocultural تأکید دارد و بر اهمیت تنوع در پشته‌های فناوری برای انعطاف‌پذیری و امنیت بیشتر تأکید کرد.

آراساراتنام خاطرنشان کرد: «زنجیره‌های تأمین Monocultural (سیستم‌عامل منفرد، واحد EDR) ذاتاً شکننده هستند و در برابر خطاهای سیستمی حساس هستند – همان‌طور که دیدیم. مهندسی سیستم خوب به ما می‌گوید که تغییرات در این سیستم‌ها باید به‌تدریج انجام شود و تأثیر آن در بخش‌های کوچک در مقابل همه به‌یک‌باره مشاهده شود. اکوسیستم‌های متنوع‌تر می‌توانند تغییرات سریع را تحمل کنند زیرا در برابر مسائل سیستمی مقاوم هستند.»

Falcon Fallout حملات فیشینگ را راه‌اندازی می‌کند

آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) نسبت به عوامل مخربی که تلاش می‌کنند از اختلال IT در سراسر جهان ناشی از به‌روزرسانی نرم‌افزار ناقص پلتفرم CrowdStrike Falcon EDR که تعداد بی‌شماری از رایانه‌های ویندوز مایکروسافت را فلج کرده است، استفاده کنند، هشدار داده است.

این آژانس گفت[۱۶]: «عملگران تهدید همچنان از قطعی گسترده فناوری اطلاعات برای فیشینگ و سایر فعالیت‌های مخرب استفاده می‌کنند» و از سازمان‌ها می‌خواهد که از اقدامات امنیتی سایبری قوی برای محافظت از کاربران، دارایی‌ها و داده‌های خود در برابر این فعالیت‌ها اطمینان حاصل کنند.

این شامل راه‌اندازی دامنه‌های کلاه‌برداری و صفحات فیشینگ[۱۷] – crowdstrikebluescreen[.]com، crowdstrike-bsod[.]com، و crowdstrike0day[.]com می‌شود – که ادعا می‌شود اسکریپت‌های اصلاح و بازیابی را برای رسیدگی به مشکل BSoD درازای پرداخت ارز دیجیتال ارائه می‌دهند.

انواع دیگر فعالیت‌های مشاهده‌شده[۱۸] از جعل هویت کارکنان CrowdStrike در تماس‌های تلفنی گرفته تا خودنمایی به‌عنوان محققان مستقل و ادعای داشتن شواهدی مبنی بر مرتبط بودن موضوع فنی با یک حمله سایبری را شامل می‌شود.

CrowdStrike که از آن زمان به دلیل خرابی‌های ناشی از به‌روزرسانی ناکارآمد عذرخواهی کرده است[۱۹]، گفت که “شدت و تأثیر موقعیت را درک می‌کند[۲۰]” و آگاه است که “دشمنان و بازیگران بد سعی خواهند کرد از رویدادهایی مانند این سوءاستفاده کنند.”

این شرکت همچنین جزئیات فنی بیشتری را به اشتراک گذاشته است که منجر به تجربه سیستم‌های ویندوز پس از به‌روزرسانی پیکربندی، چیزی به نام حلقه راه‌اندازی می‌شود، و خاطرنشان کرد که در حال حاضر در حال انجام تجزیه‌وتحلیل علت اصلی برای تعیین اینکه چگونه این نقص منطقی رخ ‌داده است.

این شرکت گفت[۲۱]: “به‌روزرسانی‌های پیکربندی حسگر بخشی از مکانیسم‌های حفاظتی پلتفرم فالکون است. این به‌روزرسانی پیکربندی یک خطای منطقی را ایجاد کرد که منجر به خرابی سیستم و صفحه آبی (BSOD) در سیستم‌های آسیب‌دیده شد.” به‌روزرسانی پیکربندی حسگر که باعث از کار افتادن سیستم شد، در روز جمعه، ۱۹ جولای ۲۰۲۴، ساعت ۰۵:۲۷ UTC اصلاح شد.

پس‌ازاین نقص فاجعه‌بار، مایکروسافت گفت[۲۲]: “در حال همکاری نزدیک با CrowdStrike و در سراسر صنعت برای ارائه راهنمایی و پشتیبانی فنی به مشتریان برای بازگرداندن ایمن سیستم‌های آن‌ها به‌صورت آنلاین است.”

منابع

[۱] https://x.com/George_Kurtz/status/1814235001745027317

[۲] https://www.crowdstrike.com/blog/statement-on-windows-sensor-update

[۳] https://en.wikipedia.org/wiki/Blue_screen_of_death

[۴] https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update

[۵] https://azure.status.microsoft/en-us/status

[۶] https://status.cloud.google.com/incidents/DK3LfKowzJPpZq4Q9YqP

[۷] https://techcommunity.microsoft.com/t5/azure-compute-blog/recovery-options-for-azure-virtual-machines-vm-affected-by/ba-p/4196798

[۸] https://health.aws.amazon.com/health/status

[۹] https://x.com/GossiTheDog/status/1814217357058842914

[۱۰] https://www.bbc.com/news/live/cnk4jdwp49et

[۱۱] https://www.theguardian.com/business/live/2024/jul/19/retail-sales-great-britain-slump-12-government-borrowing-june-figure-lowest-2019-horizon-business-live

[۱۲] https://www.nytimes.com/live/2024/07/19/business/global-tech-outage

[۱۳] https://www.microsoft.com/en-us/security/business/security-101/what-is-edr-endpoint-detection-response

[۱۴] https://www.optiv.com/insights/source-zero/blog/endpoint-detection-and-response-how-hackers-have-evolved

[۱۵] https://status.cloud.microsoft

[۱۶] https://www.cisa.gov/news-events/alerts/2024/07/19/widespread-it-outage-due-crowdstrike-update

[۱۷] https://socradar.io/suspicious-domains-exploiting-the-recent-crowdstrike-outage

[۱۸] https://www.crowdstrike.com/blog/falcon-sensor-issue-use-to-target-crowdstrike-customers

[۱۹] https://www.crowdstrike.com/blog/our-statement-on-todays-outage/

[۲۰] https://www.nytimes.com/2024/07/19/business/microsoft-outage-cause-azure-crowdstrike.html

[۲۱] https://www.crowdstrike.com/blog/technical-details-on-todays-outage

[۲۲] https://x.com/satyanadella/status/1814329337451344250

[۲۳] https://thehackernews.com/2024/07/faulty-crowdstrike-update-crashes.html