Momenteel ervaren duizenden bedrijven wereldwijd verbindingsproblemen door een storing in de CrowdStrike beveiligingssoftware, specifiek de Falcon Sensor. Dit leidt tot ‘blue screens of death’ (BSOD) op zowel Windows 10- als Windows 11-systemen, waardoor systemen onbruikbaar worden.

CrowdStrike heeft de problemen erkend en werkt aan een oplossing. Dit incident benadrukt hoe cruciaal het is om te beschikken over betrouwbare beveiligingsoplossingen en snel te kunnen reageren op technische storingen.

Voor PQR klanten is de impact beperkt, omdat PQR zelf geen gebruik maakt van CrowdStrike. Uiteraard staan we klanten bij die support nodig hebben. Heeft u op dit moment assistentie nodig? Neem daarvoor contact op met de PQR Supportdesk of uw directe contactpersoon.

IT-beheerders kunnen het CrowdStrike probleem omzeilen met de volgende stappen:

  • Start Windows op in Veilige Modus of de Windows Herstelomgeving.
  • Navigeer naar de C:\Windows\System32\drivers\CrowdStrike map.
  • Zoek het bestand dat overeenkomt met “C-00000291*.sys” en verwijder dit.
  • Start de computer normaal op.

Op de site van CrowdStrike kunt u het statement en de meest up to date informatie lezen: https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/ 

Update 8 augustus 2024

Op vrijdag 19 juli bracht CrowdStrike als onderdeel van de reguliere werkzaamheden een update van de content configuratie uit voor de Windows-sensor om telemetrie te verzamelen over mogelijke nieuwe threat technieken. De problematische Rapid Response Content-configuratie update resulteerde in een Windows systeemcrash.

In het eindrapport staat beschreven dat het probleem werd veroorzaakt door een mismatch in parameters tijdens een software update van CrowdStrike’s Falcon-sensor. Een nieuwe functie vereiste 21 invoerwaarden maar er werden er maar 20 verstrekt, wat leidde tot een systeemcrash. Deze fout werd niet opgemerkt tijdens het testen vanwege het gebruik van wildcard-matching voor de ontbrekende waarde. Het probleem deed zich voor toen een nieuwe update een non-wildcard match introduceerde, wat een out-of-bounds memory read triggerde. Crowdstrike meldt dat verbeteringen worden geïmplementeerd om soortgelijke problemen in de toekomst te voorkomen.

Om deze problemen te verhelpen implementeerde CrowdStrike patches om invoer te valideren tijdens de compilatietijd, en voegde runtimecontroles toe. Daarnaast hebben ze ook hun testscenario’s uitgebreid en implementatieprocessen bijgewerkt. Ook hebben ze hun platform verbeterd om klanten meer controle te geven over updates, waardoor het risico op soortgelijke incidenten in de toekomst wordt verminderd.

Voor meer informatie en technische details kunt u het eindrapport lezen: https://www.crowdstrike.com/wp-content/uploads/2024/08/Channel-File-291-Incident-Root-Cause-Analysis-08.06.2024.pdf

Geplaatst door

PQR

PQR streeft elke dag naar de hoogste kwaliteit producten, diensten en service. Strategisch adviseur voor moderne software defined datacenter- en workspaceoplossingen. IT-advies. Future workspace.