Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer

Text: CERT.se (Myndigheten för Samhällsskydd och Beredskap, MSB)

SÅRBARHET CROWDSTRIKE

Under morgonen den 19 juli uppmärksammades störningar i säkerhetsplattformen CrowdStrike. Störningarna kan drabba servrar och klienter som kör Microsoft Windows där programvaran Falcon Sensor från CrowdStrike är installerad. Det finns rapporter om att dessa enheter kan bli otillgängliga.

CrowdStrike har bekräftat att de upplever störningar och arbetar med att lösa problemen. De rekommenderar följande tillfälliga åtgärder för de som drabbats:

1. Starta Windows i Safe Mode eller i Windows Recovery Environment
2. Gå till katalogen C:\Windows\System32\drivers\CrowdStrike
3. Hitta filen som matchar "C-00000291*.sys" och döp om den till "C-00000291*.renamed"
4. Starta enheten normalt

Att genomföra dessa åtgärder på enheter där BitLocker är aktiverat kräver särskild hantering, framför allt tillgång till administratörsbehörighet och giltig krypteringsnyckel.

Utbredningen av störningarna är i detta läge oklara, men drabbar flera delar av världen. CERT-SE följer utvecklingen löpande och kommer att uppdatera cert.se allteftersom mer information blir tillgänglig.

CERT-SE tar gärna emot information från svenska aktörer som drabbas av störningarna. Du når oss på 010-240 40 40 eller på cert@cert.se.

Uppdatering 2024-07-19 09:59

CrowdStrike ska ha avbrutit utrullningen av den felaktiga uppdatering som orsakat problemen.

Uppdatering 2024-07-19 11:23

Luxemburgs CSIRT har gått ut med IOC:er som stöd för att identifiera de drivrutiner som tros orsaka de tekniska problem som gör servrar och klienter otillgängliga. [1]

Uppdatering 2024-07-19 12:54

CrowdStrike har gått ut med ett första officiellt uttalande om de tekniska problemen i Falcon Agent. [2]

Uppdatering 2024-07-19 13:21

Kortare tillägg kopplat till CrowdStrikes rekommenderade åtgärder till drabbade som berör enheter där BitLocker är aktiverat. Microsoft och Amazon AWS har gått ut med rekommenderade åtgärder till kunder som drabbats av de tekniska problemen med CrowdStrike på virtuella maskiner i Azure respektive EC2 [3,4].

Källor

[1] https://www.circl.lu/pub/tr-87/
[2] https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
[3] https://azure.status.microsoft/en-us/status
[4] https://health.aws.amazon.com/health/status