De computerstoring die overal ter wereld luchthavens, banken, ziekenhuizen en vervoersbedrijven platlegt, heeft niets te maken met een security-incident of cyberaanval. Het euvel is geïdentificeerd, geïsoleerd en er is een oplossing voor gevonden. Dat meldt topman George Kurtz van Crowdstrike, het cybersecuritybedrijf dat een verkeerde software-update verspreidde waardoor Windows-omgevingen uitvielen.
Kurtz en het bedrijf waaraan hij leiding geeft liggen onder vuur nadat computers met Microsoft-besturingssystemen donderdag een corrupte automatische update ontvingen, niet meer konden opstarten en vervolgens vastliepen. In Nederland blijken onder meer diverse vliegvelden, het UWV, Slingeland Ziekenhuis, Zorggroep Treant en de vervoersbedrijven AllGo, Keolis R-net en Syntus Utrecht getroffen.
‘Crowdstrike werkt actief samen met klanten die zijn getroffen door een defect, dat is gevonden in een enkele content-update voor Windows-hosts. Mac- en Linux-hosts zijn niet getroffen’, schrijft Kurtz op X. Hij verwijst getroffen organisaties naar de supportpagina’s van de site van Crowdstrike en naar hun contactpersonen bij het bedrijf. De topman biedt in zijn tweet op X geen verontschuldiging aan maar verexcuseerde zich in een interview op NBC’s Today Show in de VS namens zijn bedrijf wel voor ‘de impact die we op klanten hebben.’
Crowdstrike is een van ’s werelds grootste cybersecuritybedrijven, met voornamelijk grote ondernemingen als klant. Het Amerikaanse bedrijf kondigde donderdag zijn nieuwe product CrowdStrike Falcon Complete Next-Gen MDR aan, waarmee het naar eigen zeggen ‘een nieuwe standaard voor mdr (managed detection and response, red.) neerzet.’
Twee beveiligingsmeldingen
Volgens security-expert Erik Westhovens zit het euvel in Crowdstrike-system driver C-00000291-00000000-000000XX.Sys. Windows Defender, het standaard beveilingssysteem voor Windowsomgevingen, zou twee meldingen geven naar aanleiding van deze system driver, schrijft Westhovens op LinkedIn. ‘De eerste dat er malicious content was gevonden (een infostealer) en de tweede dat er malicious connecties waren naar ip-adressen met een slechte reputatie.’ De expert vermoedt een supplychain attack, die mogelijk is opgezet door Russische hackers. ‘Crowdstrike zal dit zeker moeten onderzoeken.’
Eerder op de dag noemde cyberexpert Dave Maasland van Eset de wereldwijde computerstoring een digitale hartstilstand. ‘Hoe vervelend dit ook is, dit is de wake-up call die we moeten gebruiken om wederom te beseffen dat onze digitale samenleving kwetsbaarheden bevat die we aan zullen moeten pakken met elkaar.’
Workaround
Op dit moment is er nog geen patch beschikbaar gesteld. Wel is er een workaround aangeboden door Crowdstrike. Volgens het NCSC lijkt deze workaround ‘in de meeste gevallen te werken, waardoor de problemen bij veel organisaties beginnen af te nemen’.
1. Boot Windows naar de Safe Mode
2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer
3. Lokaliseer bestand “C-00000291-00000000-00000032.sys” bestand, klik op de rechter muisknop en hernoem het bestand naar “C-00000291-00000000-00000032.renamed” (de versie kan verschillen bij uw host)
4. Boot de host
Bron: Nationaal Cyber Security Centrum (NCSC)
Dan zou er dus toch een gevalletje ‘SolarWinds’ achter kunnen zitten. In een longstory van Wired Magazine staat beschreven met welk dom toeval men er alsnog achter kwam hoe de infectie erin was gekomen en met iedere volgende uitrol meeging.
Ongeteste Update crowdstrike
En weer heeft iemand het voor elkaar. Het uitbrengen van een niet (voldoende) geteste update van een, klaarblijkelijk, kritisch stukje software. Dit zegt w.m.b. twee belangrijke zaken.
Dat de profs van crowdstrike weinig tot niet voldoende een meest elementaire testfase hebben doorlopen en dat er dus een hele horde systeem beheerders blijken te zijn die toestaan dat updates ongetest kunnen worden geïmplementeerd.
De impact is professioneel/kwalitatief veelzeggend….
RC