V noci z 18. na 19. července 2024 způsobila aktualizace bezpečnostního produktu společnosti CrowdStrike rozsáhlé problémy se stabilitou na nainstalovaných operačních systémech Windows. Původem problému je aktualizace souboru csagent.sys v aplikaci senzoru Falcon společnosti CrowdStrike, který způsobuje pády systému do tzv. BSOD (Blue Screen of Death – tedy do tzv. modré smrti) a nedovoluje korektní spuštění systému po restartu, čímž se systém stane nepoužitelným. Tento incident zasáhl velké množství společností v různých odvětvích po celém světě, což i nadále vede k významným provozním poruchám.
Mezi nejvíce postiženými zeměmi, které hlásí dopady, jsou:
• Spojené státy americké: Různé korporace a organizace veřejného sektoru, včetně letecké a drážní dopravy.
• Spojené království: Několik finančních institucí a vládních ministerstev.
• Německo: Výrobní a technologické firmy zaznamenaly výpadky.
• Austrálie: Mezi postiženými byly vzdělávací instituce a poskytovatelé zdravotní péče a opět letecká doprava.
V tuto chvíli je dobře znám a popsán způsob nápravného řešení – tedy spuštěním systému v nouzovém režimu a smazáním souboru “C-00000291*.sys” v adresáři „C:\Windows\System32\drivers\CrowdStrike“, nicméně komplikací a tedy zpomalením celého procesu obnovy může být i fakt, že v cloudovém prostředí není zcela jednoduché zajistit vzdálený přístup k systémům v nouzovém režimu a proto je nutné následovat specifické kroky podle https://azure.status.microsoft/en-us/status. K vyřešení problému v cloudovém prostředí je zapotřebí odpojit disk virtuálního počítače (VM), odstranit vadný soubor způsobující BSOD a poté znovu připojit disk VM. Tento proces může být dále zkomplikován u systémů s šifrovanými virtuálními disky, což přispívá k celkovému zpoždění reakce na tento incident.
Tento incident upozorňuje na mnoho kritických výzev – tedy na rostoucí počet chyb v softwaru a nutnost řešit komplexně bezpečný vývoj a testování aplikací (SDLC), na výzvy ve správě hybridních prostředí, na výzvy unifikace, konsolidace a platformizace řešení oproti multi-vendor řešením a v neposlední řadě na reakci na bezpečnostní incidenty v hybridních případně multi-cloud řešeních.
Autor: Petr Kocmich, expert na kyberbezpečnost, Soitron