Le 19 juillet 2024, le CERT-FR a été informé d’incidents affectant des systèmes sur lesquels l’agent de l’EDR Crowdstrike Falcon est installé et utilisant le système d’exploitation Microsoft Windows.
Le présent bulletin d’actualité reprend les différents éléments dont le CERT-FR a connaissance.
Contexte
Le 19 juillet 2024 à 6h09 heure de Paris (4h09 UTC), l’éditeur Crowdstrike a déployé une mise à jour de l’agent de l’EDR Crowdstrike Falcon qui a provoqué de fortes perturbations système pouvant aller jusqu’à un écran bleu (BSOD) sur les systèmes Microsoft Windows.
Crowdstrike a publié un billet de blogue et mis à disposition de ses clients des instructions de mesures de contournement.
A ce stade, le CERT-FR ne dispose d’aucun élément indiquant que cet incident soit lié à une attaque informatique.
Cependant, au regard des effets sur la disponibilité des systèmes engendré par cet incident, le CERT-FR propose une première synthèse des recommandations dont il a connaissance.
Ce bulletin d’actualité sera réactualisé en fonction des nouvelles informations dont disposera le CERT-FR.
Synthèse des recommandations de remédiation
Des mesures de contournement permettant de rétablir les systèmes affectés ont été communiquées en source ouverte (voir la section « Références »). Cependant, nous recommandons de vous adresser à l’éditeur Crowdstrike pour des mesures appropriées à votre cas spécifique.
Les mesures indiquées n’ont pas été testées par le CERT-FR.
Suivant votre configuration, l'accès au disque peut requérir :
- un compte local d’administration,
- la clé de récupération Bitlocker.
Pour plus d'information, se référer à la documentation Microsoft, citée en référence.
Pour les machines physiques
- Redémarrer la machine pour permettre une mise à jour de l’agent.
- En cas d’échec, démarrer le système d’exploitation en mode « sans échec » (« safe mode ») ou en utilisant le Windows Recovery Environment.
- Supprimer tout fichier de la forme "C-00000291*.sys" dans le répertoire %WINDIR%\System32\drivers\CrowdStrike.
- Redémarrer la machine.
Pour les systèmes virtualisés
Solution 1
- Détacher de la machine virtuelle le disque sur lequel le système d'exploitation est installé, et en effectuer une copie par mesure de précaution.
- Procéder au montage du disque sur une machine virtuelle saine, puis supprimer le fichier de la forme "C-00000291*.sys" dans le répertoire %WINDIR%\System32\drivers\CrowdStrike.
- Rattacher le disque sur la machine virtuelle affectée.
Solution 2
Une autre solution consiste à restaurer une version des systèmes affectés antérieure au 19 juillet 2024 4h09 UTC (6h09 heure de Paris)
Pour les systèmes virtualisés nuagiques
Les editeurs de services nuagiques suivants ont publié des recommandations de remise en service :
Références
- https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
- https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19
- https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Threat-Intelligence/Krisen-Grosslagen/Crowdstrike_Microsoft/Crowdstrike_Microsoft_node.html
- https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/windows/troubleshoot-recovery-disks-portal-windows
- https://learn.microsoft.com/en-us/azure/backup/backup-azure-arm-restore-vms
- https://learn.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest#az-vm-restart
- https://azure.status.microsoft/fr-fr/status
- https://health.aws.amazon.com/health/status
- https://status.cloud.google.com/incidents/DK3LfKowzJPpZq4Q9YqP#RP1d9aZLNFZEJmTBk8e1
