יועץ אבטחת מידע   |   יולי 19, 2024

התראה מיידית: כיצד להתמודד עם התקלה הקריטית של Crowdstrike

התקלה העולמית של העדכון שהגיע מחברת Crowdstrike משבשת מערכות מחשוב מסביב לעולם.

דיווחים על שיבושים הגיעו מהרבה מדינות ברחבי העולם, כולל אוסטרליה, ניו זילנד, הודו, יפן ובריטניה. שירותים כגון רפואה, תעופה, אמזון, סופרמרקטים, בנקים חברות תקשורת ושידורי טלוויזיה הן קורבנות של תקלה זו.

פירצת Crowdstrike הינה אירוע מתגלגל ומשנה מציאות גלובלית. אנו רק בתחילתו.

עדכון מוצר של חברת אבטחת המידע CrowdStrike גורם למחשבי Windows 10 ושרתים לקורס ולהציג מסך כחול ללא יכולת לאתחל מחדש. מדובר ככל הנראה על קובץ sys שהופץ עם הגדרות לא תקינות לסוכנים.

ברגע שמסירים את הקובץ הסוכן פונה לענן של cs לבקש קונפיגורציה מעודכנת. לאחר מכן אמור לפעול תקין.

חשוב לזכור שכל קבוצות התקיפה בעולם עוקבות ומנסות לנצל את המצב ולכן המלצותינו הן:

לחברות שנפגעו

יש להפעיל את צוות הטיפול באירועים הכולל הנהלה ולקבל החלטה עסקית האם להתקין במיידי את הפתרון הזמני אותו פרסמה חברת Crowdstrike או להמתין עוד יום -יומיים לעדכונים שעוד יגיעו עם פתרונות שלא הוצעו בחופזה.

אם קיום החברה מחייב ותלוי בתפעול מערך הייצור, אזי מומלץ לבצע את הפתרון המוצע, ראו להלן, במיידי אך רק על המערכות הקריטיות של הארגון.

  1. אתחלו את Windows למצב בטוח
  2. גשו לC:\Windows\System32\drivers\CrowdStrike
  3. מחקו קובץ "C-00000291*.sys".
  4. אתחל את המערכת כרגיל.

לחברות שלא נפגעו

מומלץ לבדוק מי משרשרת האספקה שלהן נפגע ומה השפעתו על הארגון ולבצע חשיבה מחדש על אופן ביצוע העדכונים במערכות הקריטיות שלהן באופן שיכול למנוע היפגעות בזמן אמת מעדכונים כגון זה של Crowdstrike.

למרות שבעיית CrowdStrike  גורמת ספציפית למכונות Windows לקרוס, לתקלה זו יש השלכות רחבות מאוד. בהתחשב בכך שזו מערכת הפעלה פופולרית ו- CrowdStrike  היא חברת אבטחת סייבר פופולרית, חברות ושירותים מרובים חווים השבתה דבר שגורם לתקלות שרשרת.

אנו חוששים כי הבאג של CrowdStrike עלול להוביל לגל של מתקפות סייבר כי קבוצות התקיפה יודעות שהרבה חברות יסירו זמנית את מנגנוני ההגנה. ייתכן אפילו שה "BUG" עצמו נוצר במתקפת סייבר ואנו עלולים לראות ולחוות מחדש אירוע SolarWinds נוסף.

תובנות מומחי סייבר בכירים של IPV Security:

  1. לא לנטרל/ להסיר/ לעקוף את הסוכנים. יכול לייצר בעיית אבטחה ונזק גבוה הרבה יותר.
  2. ברקע, לזכור, גם קבוצות תקיפה עוקבות אחר האירוע, ריצה להסרה או מימוש workaround שלא נבדק היטב – יכול להביא למימוש תקיפות כבדות, ונזק הרבה יותר גדול לארגון.
  3. אם אפשר להמתין קצת – מצוין, אם לא, לבחון העלאה מדורגת, רצוי להתחיל באזורים פחות חשופים ופחות רגישים.
  4. אם זכיתם והמחשבים שלכם לא נפגעו תשהו מעט את עדכון גרסאות.

היו מוכנים גם אם אתם משתמשי EDR שונים, תדעו שכיום יש שיתוף מזהים בין חברות הסייבר.
די ברור שיש כאן מקרה חריג ששונה מבאגים אחרים שנובעים מבעיה בתוכנה, יתכן ומדובר על IOC בעייתי.
בקשו בספקיות ה- SOC שלכם להיות ערניים, והתייחסו לכל התראה במערכת ההגנה.
לאחר שיובהרו הדברים, נוציא המלצות איך לצמצם את ההיתכנות שאירוע כזה יפגע גם בכם

לעזרה בחירום ניתן לפנות לצוות ההתערבות של איי פי וי סקיוריטי!

לחצו כאן

 

לכל התייעצות ניתן לפנות במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. לאיי פי וי סקיוריטי ניסיון של 20 שנים בניהול אירועי סייבר, אבטחת מידע וסקרי סיכונים הנוגעים לביטחון מידע.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה