Auteur Sujet: Crowdstrike, l'écran tout bleu du 19 juillet écarlate.  (Lu 9763 fois)

0 Membres et 1 Invité sur ce sujet

trekker92

  • Abonné Free adsl
  • *
  • Messages: 1 441
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« le: 19 juillet 2024 à 11:42:28 »
Edit:
Crowdstrike a publié mardi 6 août 2024 un rapport détaillé expliquant comment la faille a pu échapper à ses procédures de test.

En résumé, le code fautif faisait appel à « vingt et unième paramètre », en réalité inexistant, qui n’était pas utilisé dans les précédentes mises à jour du logiciel, ni dans les tests conduits par l’entreprise, ce qui explique qu’il est passé inaperçu.

(cliquez sur la miniature ci-dessous - le document est au format PDF)


Le journal de TF1 de 13h presque entièrement consacré au bug :



Timelapse de 12 heures des 3 compagnies les plus affectés par la panne mondiale Crowdstrike :



Présentation de Crowdstrike au FIC (Forum International de la Cybersécurité) de Lille (5-7 avril 2023)

La force de Crowdstrike, "c'est la capacité à déployer très très vite, dans des situations critiques, des dizaines de milliers d'agents, sans reboot, sans risque d'interaction ou de problème"



Des pannes informatiques signalées à l'échelle mondiale après un problème technique détecté dans un logiciel de sécurité



BSOD à l'aéroport de Sydney ce vendredi 19 juillet 2024 :


Il provient de la MAJ de l'agent Falcon Sensor de CrowdStrike et un workaround est proposé :
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/

oui, c'est partout dans la presse ce matin :
https://www.boursorama.com/bourse/actualites/une-panne-informatique-geante-paralyse-de-nombreuses-entreprises-dans-le-monde-36ac7509823049cd0867d30e1d062055
(sauf chez NXI bizarrement)
https://news.ycombinator.com/item?id=41002195
https://old.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/

CrowdStrike semble être un acteur majeur de la cyber (comme il en existe des milliers :D), également leader dans son domaine, comme la TPE du coin ;)


https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue

En deux mots :

qu'est ce que CrowdStrike?
un géant des solutions cyber, présent partout dans le monde, dans diverses industries

pourquoi windows bug?
parce qu'il y a eu une couille dans la matrice un détecteur à priori défectueux (voir *1*) dans un logiciel de cybersec fonctionnant sous windows.

pourquoi NXI n'a rien encore écrit à ce sujet?
parce que seuls les journaux généralistes se sont réveillés, ça fait vendre leur papelard ; pour de l'info de qualité, attendre 24 à 48h :)

qui n'est pas affecté?
les ordis windows non équipés de crowdstrike, les ordis sans windows

qui est affecté?
voir *2*



le fil des experts francophones :
https://www.mail-archive.com/frnog@frnog.org/msg76219.html

l'afp précise enfin les raisons de la panne :
Citer


Le souci technique concerne une solution de cybersécurité de la marque Crowdstrike, utilisée par des milliers d'entreprises dans le monde. Le logiciel en question, appelé Falcon, est un EDR ("endpoint detection and response" ), qui permet une surveillance en temps réel de tous les serveurs et les ordinateurs d'un même système informatique dans sa globalité.
 
Le bug empêche, à l'heure actuelle, l'ouverture et le lancement des ordinateurs sous Windows. Microsoft indique vendredi matin avoir pris des "mesures d'atténuation" pour tenter de limiter les pannes liées à cet incident. Selon nos informations, plusieurs entreprises françaises sont concernées. La panne mondiale touche "les activités informatiques de Paris 2024", annonce le Comité d'organisation des Jeux Olympiques et Paralympiques de Paris 2024. 
https://www.francetvinfo.fr/internet/direct-panne-informatique-mondiale-les-principales-compagnies-aeriennes-americaines-clouent-au-sol-leurs-vols-selon-la-faa_6674985.html

1:
Citer
Security company CrowdStrike has finally confirmed the massive Windows 10 BSOD outage is due to its new sensors update. As you probably know, CrowdStrike offers endpoint protection and other services, which are used by every other company, but a new update for CrowdStrike sensors is causing significant issues.

On X, there are widespread reports of Blue Screen of Death (BSOD) errors on Windows hosts, and they appear to be associated with multiple versions of CrowdStrike sensors. In our tests, Windows Latest observed that csagent.sys (or C-00000291*.sys) is causing the problem, so if you delete the file or rename the driver folder, you should be able to boot.
https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/

Citer
What you need to know

    Global outages: Tech disruptions across the world have hit airlines and businesses, which are scrambling to respond.
    Microsoft investigating: Microsoft said it was investigating an issue preventing users from accessing its apps and services. Industry experts said the disruption appears to stem from an issue with CrowdStrike, a cybersecurity firm that has Microsoft among its clients.
    Travel stalled: Major US carriers including Delta, United and American Airlines have had flights grounded, according to the Federal Aviation Administration. International airlines, including Virgin Australia and Qantas, have also seen disruptions.
    Critical infrastructure hit: Banks and telecoms companies in Australia and New Zealand have been affected, while Israel’s hospitals and health services are facing a computer “malfunction,” authorities said.


Citer
CrowdStrike and Microsoft shares down before markets open
From CNN's Laura He

CrowdStrike stock plummeted by more than 18% in pre-market trading on Friday in New York, indicating heavy selling pressure that could cause it to open sharply lower.

Microsoft’s shares also declined 2%. Both companies are listed on the Nasdaq exchange.

Industry experts have said the global tech outages appear to stem from an issue with CrowdStrike, a cybersecurity firm that has Microsoft Windows among its clients.

2:
Citer
Mass tech outages worldwide have caused IT systems to shut down, sparking delays and issues at European airports as well as affecting other transport links.

London’s Gatwick Airport said it is “affected by the global Microsoft issues” and that passengers may experience delays checking in and going through security.

Germany’s Berlin Airport said that it is experiencing delays to check-in due to a “technical fault.”

Amsterdam’s Schiphol Airport said the “global system failure” had affected “flights to and from Schiphol” and the impact is “now being mapped.” KLM Royal Dutch Airlines said the outages are “making flight handling impossible.”

Scotland’s Edinburgh Airport said IT systems outages mean “wait times are longer than usual at the airport.” Teams are on hand to assist while the airport works to resolve its issues, it said.

Spain’s airport authority, AENA, which supervises airports in Madrid, Barcelona and others across the country said in a post on X there was an “incident in the computer system” which “could cause delays,” adding that it was working to solve the problems.

Prague Airport said on X that the issues have affected its global check-in system, delaying flights.

Ryanair also confirmed a disruption to the airline’s network, advising passengers to arrive at least three hours before their scheduled departure time.

Air France, the country’s flag carrier, said the global IT issue had disrupted its operations — though flights already in the air are not affected.

Turkish Airlines said it was experiencing problems with ticketing, check-in and reservations. “Our teams are working diligently to resolve the issue as soon as possible,” the airline said in a statement.

Trains in the UK are also having issues, with Thameslink, a mainline route on the British railway, saying: “Our IT teams are actively investigating to determine the root cause of the problem.”

https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html

Citer
Thousands of Windows machines are experiencing a Blue Screen of Death (BSOD) issue at boot today, impacting banks, airlines, TV broadcasters, supermarkets, and many more businesses worldwide. A faulty update from cybersecurity provider CrowdStrike is knocking affected PCs and servers offline, forcing them into a recovery boot loop so machines can’t start properly. CrowdStrike is widely used by many businesses worldwide for managing the security of Windows PCs and servers.

Australian banks, airlines, and TV broadcasters first raised the alarm as thousands of machines started to go offline. The issues are now spreading, as businesses based in Europe are starting their working days. UK broadcaster Sky News was unable to broadcast its morning news bulletins for hours this morning, and was showing a message apologizing for “the interruption to this broadcast.” Ryanair, one of the biggest airlines in Europe, also says it’s experiencing a “third-party” IT issue, which is impacting flight departures.
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue

Denis M

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 1 465
  • Sermaise 91530
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #1 le: 19 juillet 2024 à 11:45:41 »
Il faut démarrer Windows en mode sans échec (touche F8 au démarrage).
Une fois l'ordinateur démarré aller dans le disque C:
Il faut aller précisément dans C:\Windows\System32\drivers\CrowdStrike
Dans ce dossier, supprimer le fichier qui commence par C-00000291 et termine par .sys
Redémarrer l'ordinateur.

Et pis c'est tout!
Faut juste être admin du binz.

trekker92

  • Abonné Free adsl
  • *
  • Messages: 1 441
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #2 le: 19 juillet 2024 à 11:52:58 »
Il faut démarrer Windows en mode sans échec (touche F8 au démarrage).
Une fois l'ordinateur démarré aller dans le disque C:
Il faut aller précisément dans C:\Windows\System32\drivers\CrowdStrike
Dans ce dossier, supprimer le fichier qui commence par C-00000291 et termine par .sys
Redémarrer l'ordinateur.

Et pis c'est tout!
Faut juste être admin du binz.

problème, la planète entière n'est pas supposée se retrouver dans la situation ou madame de la compta ou jérome de l'accueil **doivent** réaliser cette procédure.
ca va leur couter une blinde.. c'est presque le niveau d'un rancongiciel là

déjà c'est bien hard d'accéder en F8 au mode sans échec, si maintenant certains s'imaginent qu'i faudra moins d'une demie journée facturée pour résoudre le problème sur chaque machine..

MaxLebled

  • Abonné Free fibre
  • *
  • Messages: 410
  • Vannes (56)
    • Site web
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #3 le: 19 juillet 2024 à 11:55:57 »
Oui, au final Crowdstrike aura peut-être engendré plus de dégâts que les menaces dont il est censé protéger les entreprises.

J'ai déjà vu des spécialistes en sécurité dire que la seule différence entre un virus et un antivirus, c'est que pour les antivirus, on les paie

trekker92

  • Abonné Free adsl
  • *
  • Messages: 1 441
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #4 le: 19 juillet 2024 à 11:59:33 »
Oui, au final Crowdstrike aura peut-être engendré plus de dégâts que les menaces dont il est censé protéger les entreprises.

J'ai déjà vu des spécialistes en sécurité dire que la seule différence entre un virus et un antivirus, c'est que pour les antivirus, on les paie

mais attendez, on rentre en plein dans la tendance voulue par l'IA : des investissemnts massifs, une tendance dont tout le monde parle, qui accouche au mieux d'une souris, au pire de nombreux incidents ! :D


edit: NXI se réveille
https://next.ink/144344/panne-et-paralysie-mondiale-une-mise-a-jour-crowdstrike-provoque-des-bugs-en-cascade/

trekker92

  • Abonné Free adsl
  • *
  • Messages: 1 441
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #5 le: 19 juillet 2024 à 12:06:20 »
Citer
Une gigantesque panne affecte actuellement de nombreuses structures, y compris de grosses entreprises, des aéroports et des hôpitaux. En cause apparemment, une mise à jour des logiciels de cybersécurité de CrowdStrike. Elle provoque des écrans bleus sur les machines équipées de Windows, ainsi que des redémarrages en boucle.

Partout dans le monde, des entreprises et autres structures rapportent être partiellement ou totalement bloquées. Une cyberattaque ? A priori non. Le problème vient d’une mise à jour déployée par CrowdStrike pour son EDR (détection et intervention sur les points de terminaison) Falcon Sensor. Des banques, des aéroports, des hôpitaux, des magasins, des chaines de télévision ou encore des organes de presse sont touchés.

Le symptôme est le même partout : un écran bleu de Windows et un redémarrage du système. Falcon Sensor étant un produit destiné aux entreprises, le grand public n'est pas censé être concerné.
De très nombreuses structures touchées

Les exemples sont très nombreux. Parmi les plus retentissants, la bourse de Londres, dont le service de nouvelles « est actuellement confronté à un problème technique global d'une tierce partie, empêchant la publication de nouvelles sur www.londonstockexchange.com ». De nombreux aéroports sont touchés, dont ceux de Berlin, Melbourne, Hong-Kong, Prague ou plusieurs en Inde. Aux États-Unis, tous les avions de Delta, United et American Airlines sont cloués au sol.

Citons également les groupes médias ABC aux États-Unis et Sky News au Royaume-Uni, dont les services sont perturbés. Même chose pour les trains au Royaume-Uni.
CrowdStrike au courant, un début de solution

CrowdStrike indique être au courant de la situation dans une note, qui réclame malheureusement un compte pour la lire. La société ajoute qu’elle enquête sur le problème, qui semble lié à un souci de déploiement. La modification a été annulée.

Sur Reddit, la solution présentée dans la page « cachée » de CrowdStrike est mise en avant. Elle consiste à :

    redémarrer Windows en mode sans échec
    se rendre dans le dosser C:\Windows\System32\drivers\CrowdStrike et à
    y effacer un fichier de type « C-00000291*.sys ».

Après le redémarrage, le problème disparaitrait. Mais, comme indiqué dans de nombreuses réponses sur Reddit : il est presque impossible d’accéder aux machines actuellement. En outre, la solution serait impossible à appliquer sur les machines où BitLocker (solution de chiffrement intégral de Microsoft) est actif.

En France, le CERT vient également de communiquer : « Le CERT-FR a été informé ce jour d'un incident majeur affectant les systèmes Microsoft Windows disposant de l'EDR CrowdStrike Falcon. Cet incident semble provoquer un écran bleu système entraînant un redémarrage du poste. À ce stade, le CERT-FR n'a pas d'élément indiquant que cet incident est lié à une attaque informatique ». Le Centre ajoute suivre « avec attention les évolutions de cet incident ». Même son de cloche à l’ANSSI.

La nouvelle pourrait fortement impacter CrowdStrike. Avant même l’incident, l’entreprise voyait son action chuter à cause de divers problèmes de valorisation. Hier, on a également appris que le cabinet d’analyse Redburn Atlantic baissait sa note pour CrowdStrike (et Palo Alto Networks), citant le prix trop élevé de son action et des conditions changeantes sur le marché.
Comment en est-on arrivés là ?

À l’heure actuelle, ni CrowdStrike ni Microsoft n’ont publiquement communiqué sur cette vaste panne, alors que de nombreuses questions restent ouvertes. La plus évidente : comment une telle mise à jour a-t-elle pu passer les différentes étapes de vérification ?

    While current evidence points to a CrowdStrike update gone wrong — let's not forget that causing this level of outage, by a single application, should not be possible in the first place.

    How did 1. Windows, 2. process isolation and 3. null-safe kernel code also fail to catch it?
    — Lars Veelaert (@larsveelaert) July 19, 2024

Quelques heures auparavant, Microsoft avait des problèmes avec Azure et Microsoft 365, mais ils semblent désormais réglés et sans lien apparent avec les soucis du jour. Ces derniers viennent pour rappel d’une mise à jour de chez CrowdStrike, pas d’un problème chez Microsoft.
https://next.ink/144344/panne-et-paralysie-mondiale-une-mise-a-jour-crowdstrike-provoque-des-bugs-en-cascade/

trekker92

  • Abonné Free adsl
  • *
  • Messages: 1 441
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #6 le: 19 juillet 2024 à 12:06:55 »
également, les anglophones souhaiteront peut être la synthèse + le détail sur la page wiki (:D) :
https://en.wikipedia.org/wiki/July_2024_global_cyber_outages

Citer
I'm in Australia. All our banks are down and all supermarkets as well so even if you have cash you can't buy anything.
https://old.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/ldw3oiv/

Citer
My wife’s machine BSODd live when this happened. I was like, babe, you are gonna read about this in the news tomorrow. I don’t think you’re gonna get in trouble with your boss
I felt like the cop in Dark Knight Rises telling the rookie ‘you are in for a show tonight’
https://old.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/ldw2znr/

on dirait un entrainement à skynet.. qui fait une belle pub pour les unix!

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 185
  • Paris (75)
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #7 le: 19 juillet 2024 à 12:27:47 »
Il faut démarrer Windows en mode sans échec (touche F8 au démarrage).
Une fois l'ordinateur démarré aller dans le disque C:
Il faut aller précisément dans C:\Windows\System32\drivers\CrowdStrike
Dans ce dossier, supprimer le fichier qui commence par C-00000291 et termine par .sys
Redémarrer l'ordinateur.

Et pis c'est tout!
Faut juste être admin du binz.

non car t'as oublié la ligne la plus importante:

Citer
En outre, la solution serait impossible à appliquer sur les machines où BitLocker (solution de chiffrement intégral de Microsoft) est actif.

un non admin peut éventuellement faire la procédure, encore faut-il que la machine ait un clavier ou un moyen de brancher un clavier pour faire F8.

si y'a du BitLocker il faut en plus les clés de chiffrement pour faire la manip... ce qui n'est pas forcement possible, sur ce genre de terminaux on ne garde pas forcement ces clés.

Sur une machine ou on est met Falcon Sensor (le produit en question) et il est souvent aussi logique de Bitlocker le stockage.

ca veut dire reset complet et réinstallation l'équivalent de la procédure de changement d'un terminal.
.. qui en général sont pre parametrés en atelier avant d'être déployé sur site.

bref suivant les cas ca peut être long et couteux de remedier au probleme...

jerome34

  • Abonné SFR fibre FttH
  • *
  • Messages: 547
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #8 le: 19 juillet 2024 à 12:38:53 »
En attendant, ça fout le boxon partout.

Au niveau de la TV, TF1, CNEWS, LCI n'ont pu diffuser correctement leurs émissions. CANAL+ est en recouvery mode, Canal+ Foot, Sport 360, Info Sport+ ont cessé d'emmener pendant 3h. CStar a vu son écran figée pendant 3h.
Certaines chaines ont carrément cessé d'émettre. Comme National Géographic et Nat Géo Wild.

A l'étranger, j'ai vu que Sky News Australia et UK avait été concernées.

Ce qui m'inquiète le plus, c'est de savoir que aux USA, le 911, le numéro d'urgence, est tombé en rade. Pour le coup, faisant parti des infrastructures vitales, je ne comprends pas trop...


MoXxXoM

  • Expert
  • Abonné Starlink
  • *
  • Messages: 1 093
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #9 le: 19 juillet 2024 à 12:40:42 »
on dirait un entrainement à skynet.. qui fait une belle pub pour les unix!
Alors c'est pas tout a fait vrai.
Ce genre d'agent -de merde- est dispo aussi sous linux avec tout ce qu'il faut pour faire un kernel panic. https://access.redhat.com/solutions/7068083
Pour moi c'est plus un symptôme de ces services cloud-based qui viennent avec des agents opaques dont la qualification est souvent mal/pas faite compte tenu des mises a jour trop rapides liées au fait que ce sont des merdes livrées avec des milliards de truc à corriger car 'il faut aller vite'.

Denis M

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 1 465
  • Sermaise 91530
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #10 le: 19 juillet 2024 à 12:46:56 »
non car t'as oublié la ligne la plus importante
En démarrant d'un CD/clef Linux ça peut pas jouer la combine?

trekker92

  • Abonné Free adsl
  • *
  • Messages: 1 441
Crowdstrike, l'écran tout bleu du 19 juillet écarlate.
« Réponse #11 le: 19 juillet 2024 à 12:53:46 »
Alors c'est pas tout a fait vrai.
Ce genre d'agent -de merde- est dispo aussi sous linux avec tout ce qu'il faut pour faire un kernel panic. https://access.redhat.com/solutions/7068083
Pour moi c'est plus un symptôme de ces services cloud-based qui viennent avec des agents opaques dont la qualification est souvent mal/pas faite compte tenu des mises a jour trop rapides liées au fait que ce sont des merdes livrées avec des milliards de truc à corriger car 'il faut aller vite'.
les DSI sont friands d'agents qui ne font pas qu'antivirus.. ce qui devait arriver arriva, et arrivera à nouveau dans dix ans..

En démarrant d'un CD/clef Linux ça peut pas jouer la combine?

vous avez déjà vu un linux  accéder/modifier un système de fichiers protégé par bitlocker, vous?
de mon coté, pour avoir essayé il y a quelques jours : message d'erreur de volume mal démonté, qu'il ne peut remonter (d'ailleurs, bitlocker est fait pour empecher les unix/linux d'accéder, sinon le chiffrement serait une blague :D )