يؤدي تحديث CrowdStrike الخاطئ إلى تعطل أنظمة Windows، مما يؤثر على الشركات في جميع أنحاء العالم
تعرضت الشركات في جميع أنحاء العالم لاضطرابات واسعة النطاق في محطات عمل Windows الخاصة بها بسبب التحديث الخاطئ الذي قدمته شركة CrowdStrike للأمن السيبراني.
“تعمل CrowdStrike بنشاط مع العملاء المتأثرين بخلل تم العثور عليه في تحديث محتوى واحد لمضيفي Windows،” الرئيس التنفيذي للشركة جورج كورتز قال في إفادة. “لم يتأثر مضيفو Mac وLinux. وهذا ليس حادثًا أمنيًا أو هجومًا إلكترونيًا.”
الشركة التي اعترف “تقارير [Blue Screens of Death] على مضيفات Windows”، قالت أيضًا إنها حددت المشكلة وتم نشر إصلاح لمنتج Falcon Sensor الخاص بها، وحثت العملاء على الرجوع إلى بوابة الدعم للحصول على آخر التحديثات.
بالنسبة للأنظمة التي تأثرت بالفعل بالمشكلة، تم إدراج تعليمات التخفيف أدناه –
- قم بتشغيل Windows في الوضع الآمن أو بيئة استرداد Windows
- انتقل إلى الدليل C:\Windows\System32\drivers\CrowdStrike
- ابحث عن الملف المسمى “C-00000291*.sys” واحذفه
- أعد تشغيل الكمبيوتر أو الخادم بشكل طبيعي
تجدر الإشارة إلى أن انقطاع الخدمة قد أثر أيضًا على Google Cloud Compute Engine، مما تسبب في تعطل الأجهزة الافتراضية التي تعمل بنظام Windows والتي تستخدم csagent.sys الخاص بـ CrowdStrike والدخول في حالة إعادة تشغيل غير متوقعة.
“بعد تلقي التصحيح المعيب تلقائيًا من CrowdStrike، تتعطل أجهزة Windows الافتراضية ولن تكون قادرة على إعادة التشغيل،” قال. “أجهزة Windows الافتراضية التي تم تشغيلها حاليًا لن تتأثر بعد الآن.”
مايكروسوفت أزور لديها أيضا نشر تحديث مشابه، مشيرًا إلى أنه “تلقى تقارير عن الاسترداد الناجح من بعض العملاء الذين يحاولون عمليات إعادة تشغيل الجهاز الظاهري المتعددة على الأجهزة الافتراضية المتأثرة” وأنه “قد تكون هناك حاجة إلى عدة عمليات إعادة تشغيل (تم الإبلاغ عن ما يصل إلى 15 منها).”
أما أمازون ويب سيرفيسز (AWS)، من جانبها، قال لقد اتخذت خطوات للتخفيف من المشكلة لأكبر عدد ممكن من مثيلات Windows ومساحات عمل Windows وتطبيقات Appstream، وأوصت العملاء الذين ما زالوا متأثرين بالمشكلة “باتخاذ إجراء لاستعادة الاتصال”.
الباحث الأمني كيفن بومونت قال “لقد حصلت على برنامج تشغيل CrowdStrike الذي قاموا بدفعه عبر التحديث التلقائي. لا أعرف كيف حدث ذلك، لكن الملف ليس برنامج تشغيل منسقًا بشكل صحيح ويتسبب في تعطل Windows في كل مرة.”
“CrowdStrike هو منتج EDR من الدرجة الأولى، وهو موجود في كل شيء بدءًا من نقاط البيع وحتى أجهزة الصراف الآلي وما إلى ذلك – سيكون هذا أكبر حادث “سيبراني” في جميع أنحاء العالم من حيث التأثير، على الأرجح.”
شركات الطيران والمؤسسات المالية وسلاسل الأغذية والتجزئة والمستشفيات والفنادق والمؤسسات الإخبارية وشبكات السكك الحديدية وشركات الاتصالات ضمن ال كثير الأعمال متأثر. انخفضت أسهم CrowdStrike بنسبة 15٪ في تداولات ما قبل السوق في الولايات المتحدة.
وقال عمر غروسمان، كبير مسؤولي المعلومات (CIO) في CyberArk، في بيان تمت مشاركته مع The Hacker News: “يبدو أن الحدث الحالي – حتى في يوليو – سيكون أحد أهم القضايا السيبرانية لعام 2024”. “إن الضرر الذي لحق بالعمليات التجارية على المستوى العالمي هائل. ويعود هذا الخلل إلى تحديث برنامج منتج EDR الخاص بشركة CrowdStrike.”
“هذا منتج يعمل بامتيازات عالية ويحمي نقاط النهاية. وقد يؤدي أي خلل في هذا، كما نرى في الحادث الحالي، إلى تعطل نظام التشغيل.”
وأشار غروسمان إلى أنه من المتوقع أن يستغرق التعافي أيامًا، حيث يلزم حل المشكلة يدويًا، ونقطة نهاية بنقطة نهاية، من خلال تشغيلها في الوضع الآمن وإزالة برنامج تشغيل عربات التي تجرها الدواب، مضيفًا أن السبب الجذري وراء الخلل سيكون ذا أهمية قصوى “.
صرح جيك مور، مستشار الأمن العالمي في شركة الأمن السيبراني السلوفاكية ESET، لصحيفة The Hacker News أن الحادث يسلط الضوء على الحاجة إلى تنفيذ العديد من “أنظمة الأمان ضد الفشل” في مكانها وتنويع البنية التحتية لتكنولوجيا المعلومات.
وقال مور: “قد تشتمل عمليات ترقيات الأنظمة والشبكات وصيانتها عن غير قصد على أخطاء صغيرة، مما قد يكون له عواقب واسعة النطاق كما يعاني منها عملاء CrowdStrike اليوم”.
“يتعلق جانب آخر من هذه الحادثة بـ “التنوع” في استخدام البنية التحتية لتكنولوجيا المعلومات واسعة النطاق. وينطبق هذا على الأنظمة الحيوية مثل أنظمة التشغيل (OSes)، ومنتجات الأمن السيبراني، وغيرها من التطبيقات المنتشرة عالميًا. وعندما يكون التنوع منخفضًا، يمكن أن يؤدي حادث فني واحد، ناهيك عن مشكلة أمنية، إلى انقطاع التيار الكهربائي على نطاق عالمي مع آثار لاحقة.
يأتي هذا التطوير في الوقت الذي تتعافى فيه Microsoft من انقطاع منفصل خاص بها تسبب في حدوث مشكلات في تطبيقات وخدمات Microsoft 365، بما في ذلك Defender وIntune وOneNote وOneDrive for Business وSharePoint Online وWindows 365 وViva Engage وPurview.
“تسبب تغيير التكوين في جزء من أحمال عمل الواجهة الخلفية لـ Azure لدينا في انقطاع بين موارد التخزين والحوسبة مما أدى إلى فشل الاتصال الذي أثر على خدمات Microsoft 365 النهائية التي تعتمد على هذه الاتصالات،” عملاق التكنولوجيا قال.
وقال أمخار أراساراتنام، المدير العام لـ OpenSSF، إن انقطاعات Microsoft-CrowdStrike تؤكد هشاشة سلاسل التوريد أحادية الثقافة وتؤكد على أهمية التنوع في مجموعات التكنولوجيا لمزيد من المرونة والأمن.
وأشار أراساراتنام إلى أن “سلاسل التوريد أحادية الثقافة (نظام تشغيل واحد، وEDR واحد) هشة بطبيعتها وعرضة للأخطاء النظامية – كما رأينا”. “تخبرنا هندسة النظام الجيدة أن التغييرات في هذه الأنظمة يجب أن يتم تنفيذها تدريجيًا، مع ملاحظة التأثير على شرائح صغيرة مقابل كل ذلك دفعة واحدة. يمكن للأنظمة البيئية الأكثر تنوعًا أن تتحمل التغيير السريع لأنها تتمتع بالمرونة في مواجهة المشكلات النظامية.”
إرسال التعليق