Entre explications et remèdes, Crowdstrike en gestion de crise
Publié par Clément Bohic le | Mis à jour le
Au cours du week-end, Crowdstrike a structuré une réponse face à l’incident majeur qu’a causé son EDR. Où en est-on ?
Des détails techniques ? En l’état, n’en attendez pas trop de la part de Crowdstrike.
Officiellement, l’éditeur cherche encore la cause première de la panne informatique mondiale qu’a engendrée son EDR.
Une courte version des faits…
Samedi 19 juillet, à 5 h 09 (heure française), fut publiée mise à jour de configuration pour l’agent Windows. Ce type d’update est livré plusieurs fois par jour. Celui-ci contenait des informations sur l’exploitation de canaux de communication interprocessus par des frameworks C2.
Malgré son extension (.sys) et son emplacement (dossier des pilotes Windows), ce fichier n’est pas un pilote noyau, affirme Crowdstrike. Toujours est-il qu’il a causé une « erreur logique », pour reprendre les termes employés sans plus de précisions. Elle a touché toutes les versions de l’agent Falcon depuis la 7.11. La publication du correctif est intervenue à 6 h 27.
… et une longue liste de méthodes de remédiation
Pour qui a souscrit un abonnement XDR (Falcon Insight), il y a désormais un tableau de bord affichant les hôtes affectés. Les autres utiliseront la fonction de « recherche avancée d’événements » (= requêtes SIEM).
Aux dernières nouvelles, Crowdstrike commence à mettre en place, en opt-in, une « technique pour accélérer la remédiation ». Pour le moment, les méthodes recommandées s’appliquent hôte par hôte.
Méthode principale : le laisser-faire. Plus précisément, laisser la machine redémarrer en boucle… et espérer qu’à un moment, Windows télécharge le correctif avant de planter. Dans ce cadre, on privilégiera l’Ethernet au Wi-Fi pour une connexion plus rapide au réseau.
Si cette technique échoue, on suivra les tutos de Microsoft. Côté client, deux options : soit un passage en mode sans échec pour supprimer le fichier problématique via l’invite de commandes, soit une restauration système par l’intermédiaire de l’environnement de récupération Windows. Côté serveur, on passe par une ISO de dépannage, aussi bien sur les machines physiques que sur les hôtes Hyper-V.
Microsoft propose aussi un script pour créer une clé USB amorçable automatisant le processus. Par rapport à l’environnement de récupération Windows PE, le mode sans échec nécessite un accès admin local. Mais il permet, sous conditions, d’accéder à des disques chiffrés avec Bitlocker et dont on n’aurait pas la clé à disposition.
Crowdstrike crie au phishing, mais pas que
Pour qui chercherait à récupérer de telles clés, Crowdstrike fournit quelques guides. Ils couvrent les solutions Microsoft (AD, Azure, SCCM) et quelques produits tiers (BigFix, Citrix, Ivanti, ManageEngine, Tanium, VMware/Omnissa).
L’éditeur communique aussi une méthode générique pour les environnements cloud (rollback ou utilisation d’une VM de dépannage). Il y ajoute un guide spécifique pour GCP ainsi que des liens vers ceux qu’ont publiés AWS et Microsoft.
Intel propose sa propre méthode de remédiation sur les appareils vPro gérés avec sa techno AMT. Chez les acteurs de la sauvegarde, Cohesity et Rubrik, entre autres, ont publié des guides.
L’incident a touché 8,5 millions de machines, estiment Microsoft et Crowdstrike. Ce dernier appelle ses clients à la vigilance : ils risquent de recevoir des communications de tiers se faisant passer autant pour le support que pour des chercheurs proposant de l’aide à la remédiation. Attention aussi aux fichiers malveillants. Illustration avec une campagne – ciblée sur l’Amérique latine – qui utilise un zip nommé crowdstrike-hotfix.
Illustration principale © Ilya – Adobe Stock