یک کامپوننت معیوب در آخرین به روزرسانی CrowdStrike، سیستمهای ویندوز را از کار انداخت. سازمانها و سرویسهای مختلف از جمله فرودگاهها، بیمارستانها، ایستگاههای تلویزیونی و رسانههای خبری مانند اسکای نیوز و ABC به دلیل از کار افتادن رایانهها در سراسر جهان دچار اختلال شدند.
این مشکل بر ایستگاههای کاری[1] و سرورهای ویندوز تأثیر گذاشته و کاربران از قطعیهای عظیمی خبر دادند که رایانههای صدها هزار شرکت و ناوگان را آفلاین کرده است. بر اساس برخی گزارشها، خدمات اورژانس در ایالات متحده و کانادا نیز تحت تاثیر قرار گرفتهاند.
کاربران در چند ساعت گذشته، از گیر افتادن هاست ویندوز در حلقه بوت یا نمایش صفحه آبی مرگ (BSOD[2]) پس از نصب آخرین به روز رسانی برای CrowdStrike Falcon Sensor (یا سنسور فالکون CrowdStrike) خبر دادند.
فروشنده امنیتی، این مشکل را تایید و یک هشدار فنی منتشر کرده است و توضیح داد که این رخداد، یک حمله سایبری نیست بلکه یک نقص امنیتی است که به دلیل به روزرسانی محتوا در میزبانهای ویندوز رخ داده است و مهندسان این شرکت، این باگ را شناسایی کرده و تغییرات را به حالت قبل باز گرداندهاند.
جورج کورتز، رئیس و مدیر عامل CrowdStrike اذعان داشت که یک Channel File (فایل کانال)، مقصر این ماجراست. این فایل حاوی دادههایی برای حسگر است (به عنوان مثال دستورالعملها). از آنجایی که این فایل تنها یک کامپوننت به روز رسانی برای سنسور میباشد، این نوع فایل را میتوان به صورت جداگانه و بدون حذف به روزرسانی سنسور فالکون به کار گرفت.
راهکار ارائه شده برای به روزرسانی CrowdStrike
CrowdStrike برای کاربرانی که تحت تأثیر این نقص امنیتی قرار گرفتهاند، مراحل زیر را توصیه کرده است:
- ویندوز را در حالت Safe Mode یا محیط بازیابی ویندوز، بوت کنید.
- به دایرکتوری C:\Windows\System32\drivers\CrowdStrike بروید.
- فایل منطبق با “C-00000291*.sys” را پیدا و آن را حذف کنید.
- سیستم را بصورت نرمال بوت کنید.
شایان ذکر است که این قطعیها بر موتور محاسبات ابری گوگل نیز تأثیر گذاشته و باعث شده است که ماشینهای مجازی ویندوز که از csagent.sys شرکت CrowdStrike استفاده میکنند از کار افتاده و به حالت راهاندازی مجدد غیرمنتظره بروند.
CrowdStrike همچنین دو راهکار برای رسیدگی به این باگ در محیطهای ابری و مجازی ارائه کرده است، یکی از این گزینهها بازگشت به یک snapshot پیش از ساعت 04:09 UTC است و گزینه دوم روش هفت مرحلهای زیر میباشد:
- disk volume سیستم عامل را از سرور مجازی آسیب دیده جدا کنید.
- برای احتیاط در برابر تغییرات ناخواسته، قبل از ادامه کار، یک snapshot یا نسخه پشتیبان از disk volume تهیه کنید.
- disk volumeرا به یک سرور مجازی جدید وصل کنید/نصب نمایید.
- به دایرکتوری %WINDIR%\System32\drivers\CrowdStrike بروید.
- فایل منطبق با “C-00000291*.sys” را پیدا و آن را حذف کنید.
- disk volumeرا از سرور مجازی جدید جدا کنید.
- disk volumeثابت را مجددا به سرور مجازی آسیب دیده وصل کنید.
جورج کورتز اعلام کرد که یک پچ فوری به زودی منتشر خواهد شد و مشتریان برای دریافت آخرین به روز رسانیها به پورتال پشتیبانی این شرکت مراجعه کنند.
[1] workstation
[2] Blue Screen of Death
