Wereldwijde computerstoring na CrowdStrike-update

Update - Waarschuwing CrowdStrike malafide handleiding

23 juli 2024

CrowdStrike geeft aan dat er een malafide herstelhandleiding rondgaat. Het document is voorzien van malafide macro’s. Het advies blijft om alleen te communiceren met CrowdStrike via de officiële kanalen en om webcertificaten te checken op de downloadpagina wanneer er software wordt gedownload.

Meer informatie over de malafide handleiding vind je hier: 

• https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/

Update - Risico op phishing

22 juli 2024

CrowdStrike geeft aan dat kwaadwillenden misbruik proberen te maken van de incidenten door verschillende vormen van phishing-aanvallen uit te voeren. Het advies is om alleen de officiële CrowdStrike-kanalen te gebruiken voor communicatie met medewerkers van CrowdStrike.

Op de onderstaande pagina’s vind je meer technische informatie over de pogingen: 

• https://www.crowdstrike.com/blog/falcon-sensor-issue-use-to-target-crowdstrike-customers/   
• https://www.crowdstrike.com/blog/likely-ecrime-actor-capitalizing-on-falcon-sensor-issues/ 

Update - Recovery tool

21 juli 2024

Microsoft heeft een nieuwe ‘Recovery Tool’ en instructies beschikbaar gesteld om IT-beheerders te helpen met het versnellen van het herstelproces.

Update - Handelingsperspectief

19 juli 2024

Het Nationaal Cyber Security Centrum (NCSC) heeft een update beschikbaar gesteld met de laatste feiten, hierin wordt ook nieuw handelingsperspectief gegeven.

Wat we nu weten

• De problemen veroorzaakt door de update van CrowdStrike agent doen zich alleen voor op Windows systemen. Linux en Mac systemen zijn niet getroffen.
• Windows systemen die vanochtend (19/07/2024) later dan 05:27 UTC online zijn gekomen, zijn niet getroffen.
• Het NCSC heeft inmiddels van veel organisaties begrepen dat de workaround die Crowdstrike heeft aangeboden, effectief is geweest en systemen langzaam weer operationeel worden. In sommige gevallen is er een variant van de workaround nodig. De ons bekende varianten delen we hieronder in het aangepaste handelingsperspectief. Het NCSC kan met redelijke zekerheid bevestigen dat het uitvoeren van deze workaround geen gevolgen heeft voor de werking van de Crowdstrike agent.

Handelingsperspectief

De versie die problemen veroorzaakt is: Channel file 'C-00000291*.sys' met timestamp '0409 UTC'. Versies van dit bestand met een timestamp van '0527 UTC' of later zijn goede versies.

• Probeer bij systemen die de update wel hebben uitgevoerd allereerst het systeem te herstarten om daarmee automatisch een nieuwe versie van de channel file te downloaden.
• Als dit niet werkt en het systeem in een ‘loop crash’ terecht komt, adviseert Crowdstrike de volgende stappen te nemen om een handmatige interventie uit te voeren:

In sommige gevallen is er een variant van de workaround nodig. De ons bekende varianten delen we hieronder:

• Voor fysieke laptop/desktop systemen waarop BIOS storage op 'RAID' ingesteld staat, moet mogelijkerwijs eerst deze instelling worden gewijzigd van 'RAID' naar 'AHCI/NVMe' voordat de C: drive in Safe Mode zichtbaar is.
• Indien gebruik gemaakt wordt van Bitlocker, kunnen de volgende acties worden gevolgd voorafgaand aan de hierboven omschreven workaround. Hiervoor zijn wel lokale admin rechten op de host vereist:

 
Meer handelingsperspectieven

• Amazon heeft een handelingsperspectief gepubliceerd voor gebruikers van AWS Windows EC2 Instances of Windows Workspaces.
• Microsoft heeft handelingsperspectief gepubliceerd voor gebruikers van Windows VM's op die draaien op Azure.
• Google heeft handelingsperspectief gepubliceerd voor gebruikers van Windows VM's in Google Cloud.

Oorspronkelijk bericht

19 juli 2024

Er gaan verschillende berichten in de media rond over een wereldwijde computerstoring na een update van cyberbeveiligingsbedrijf CrowdStrike. Vooral Windows-computers tonen een ‘Blue screen of death’ (BSOD) / blauw scherm. Hierdoor kunnen de computers niet opstarten.

Wat is er aan de hand?

• De meest recente update van CrowdStrike-agent veroorzaakt een Blue Screen of Death (BSOD).
• CrowdStrike erkent de problemen en voert momenteel onderzoek uit om de problemen op te lossen.
• Op dit moment is er nog geen patch beschikbaar gesteld. Wel is er een workaround beschikbaar gesteld door CrowdStrike die we hieronder in het handelingsperspectief delen.

Het Nationaal Cyber Security Centrum (NCSC) heeft bevestigd dat de workaround die CrowdStrike heeft geboden werkt. Deze is wel zeer arbeidsintensief en moet per systeem worden uitgevoerd. Het NCSC heeft op dit moment geen indicatie dat de situatie het gevolg is van acties door kwaadwillenden.

Wat kun je doen?

Heb je de meeste recente update van CrowdStrike-agent nog niet uitgevoerd, dan is het advies om dit ook niet te doen totdat er een geverifieerde oplossing beschikbaar is. Als de systemen ‘loop crashen’ is het advies om de volgende stappen te ondernemen om een handmatige interventie uit te voeren:

1. Boot Windows naar de Safe Mode
2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer
3. Lokaliseer bestand “C-00000291-00000000-00000032.sys” bestand, klik op de rechter muisknop en hernoem het bestand naar “C-00000291-00000000-00000032.renamed” (de versie kan verschillen bij je host)
4. Boot de host

Weet je niet zeker hoe je deze workaround kunt toepassen? Vraag dan jouw IT-dienstverlener om hulp bij het uitvoeren van de workaround. Het Digital Trust Center (DTC) adviseert om voor het laatste nieuws de berichtgeving van het NCSC te volgen.