Update wereldwijde storing Crowdstrike

Nieuwsbericht | 19-07-2024 | 10:18

Vrijdag 19 juli werd duidelijk dat een update van CrowdStrike agent zorgen voor technische problemen in systemen bij organisties. De problemen spelen wereldwijd en ook in Nederland worden diverse sectoren getroffen.

Wat we nu weten

• De problemen veroorzaakt door de update van CrowdStrike agent doen zich alleen voor op Windows systemen. Linux en Mac systemen zijn niet getroffen. 
• Windows systemen die op 19/07/2024 later dan 05:27 UTC online zijn gekomen, zijn niet getroffen. 
• Het NCSC heeft inmiddels van veel organisaties begrepen dat de workaround die Crowdstrike eerder heeft aangeboden, effectief is geweest en systemen langzaam weer operationeel worden. In sommige gevallen is er een variant van de workaround nodig. De ons bekende varianten delen we hieronder in het aangepaste handelingsperspectief. Het NCSC kan met redelijke zekerheid bevestigen dat het uitvoeren van deze workaround geen gevolgen heeft voor de werking van de Crowdstrike agent.
• CrowdStrike en Microsoft hebben nieuwe tools aangeboden om herstel te vergemakkelijken.

• Het NCSC heeft vernomen dat cybercriminelen ook misbruik maken van de urgentie en aandacht rondom CrowdStrike. Het is goed om waakzaam te zijn op phishing en malafide domeinen.

Handelingsperspectief

• CrowdStrike heeft een geautomatiseerde methode beschikbaar gesteld, de randvoorwaarde is wel dat de klant met CrowdStrike cloud een verbinding kan maken. 
• Microsoft heeft een ‘Recovery Tool’ beschikbaar gesteld om te ondersteunen bij het herstellen van de impact op Windows-systemen.

Workaround

De versie die problemen veroorzaakt is: Channel file 'C-00000291*.sys' met timestamp '0409 UTC'. Versies van dit bestand met een timestamp van '0527 UTC' of later zijn goede versies.

• Probeer bij systemen die de update wel hebben uitgevoerd allereerst het systeem te herstarten om daarmee automatisch een nieuwe versie van de channel file te downloaden.
• Indien dit niet werkt en het systeem in een ‘loop crash’ terecht komt, adviseert Crowdstrike de volgende stappen te nemen om een handmatige interventie uit te voeren:

  1. Boot Windows naar de Safe Mode 2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer 3. Lokaliseer bestand “C-00000291*.sys” bestand, klik op de rechter muisknop en verwijder het bestand of hernoem deze naar “C-00000291*.renamed” 4. Boot de host

In sommige gevallen is er een variant van de workaround nodig. De ons bekende varianten delen we hieronder: 

• Voor fysieke laptop/desktop systemen waarop BIOS storage op 'RAID' ingesteld staat, moet mogelijkerwijs eerst deze instelling worden gewijzigd van 'RAID' naar 'AHCI/NVMe' voordat de C: drive in Safe Mode zichtbaar is.
• Indien gebruik gemaakt wordt van Bitlocker, kunnen de volgende acties worden gevolgd voorafgaand aan de hierboven omschreven workaround. Hiervoor zijn wel lokale admin rechten op de host vereist:

Gebruik de 'advanced restart options' om een command prompt te openen. Skip het verzoek om een bitlocker key wanneer deze wordt gevraagd. Run het commando: 'bcdedit /set {default} safeboot minimal'. Nu zou het systeem in Safe Mode moeten booten en kunt u de stappen hierboven volgen om het betreffende .sys bestand te hernoemen. Hierna start het systeem na een restart in Safe Mode en moet 'msconfig' worden gedraaid. Op de boot tab moet safeboot weer uitgezet worden. Tot slot moet het systeem opnieuw opgestart worden om uit Safe Mode te komen.

• Amazon heeft een handelingsperspectief gepubliceerd voor gebruikers van AWS Windows EC2 Instances of Windows Workspaces.  
• Microsoft heeft handelingsperspectief gepubliceerd voor gebruikers van Windows VM's op die draaien op Azure. 
• Google heeft handelingsperspectief gepubliceerd voor gebruikers van Windows VM's in Google Cloud. 

Het NCSC blijft de situatie monitoren en houdt u op de hoogte van verdere updates.