De wereldwijde computerstoring, waarschijnlijk veroorzaakt door een foutieve update van de software van beveiliger Crowdstrike, veroorzaakt een chaos op luchthaven Schiphol, meldt Radio1. Vandaag gaan veel mensen op vakantie; er staan lange rijen voor de balies van luchtvaartmaatschappijen. Zo ligt de website van Transavia plat. Ook op andere luchthavens, zoals Eindhoven Airport maar ook in andere landen, gaat het niet goed.
De hele wereld lijkt op dit moment getroffen te zijn door een – mogelijk – foutieve update vanuit Crowdstrike. De automatische update van het bedrijf lijkt niet te werken, waardoor computers met Microsoft-besturingssystemen niet opgestart kunnen worden en systemen vastlopen. De problemen begonnen in Australië, maar inmiddels komen de meldingen van falende systemen overal vandaan, blijkt bijvoorbeeld uit dit overzicht van de BBC. In Nederland worden, naast de moeilijkheden op de vliegvelden, problemen gemeld bij onder andere het UWV, Slingeland Ziekenhuis, Zorggroep Treant en de vervoersbedrijven AllGo, Keolis R-net en Syntus Utrecht.
Crowdstrike is een van de grootste cybersecuritybedrijven ter wereld, met grote bedrijven als klant. Het Amerikaanse bedrijf kondigde gisteren zijn nieuwe product CrowdStrike Falcon Complete Next-Gen MDR aan waarmee het naar eigen zeggen ‘een nieuwe standaard voor mdr (managed detection and response, red.) neerzet.’
Eset en NCSC
Cyberexpert Dave Maasland (Eset) laat op X weten: ‘De gevolgen zijn enorm, it-systemen werken niet meer en organisaties hebben op dit moment een digitale hartstilstand. Dit doet denken aan 2017 waar dit toen werd veroorzaakt door een wereldwijde digitale aanval, dat lijkt dit keer niet het geval. Hoe vervelend dit ook is, dit is de wake-up call die we moeten gebruiken om wederom te beseffen dat onze digitale samenleving kwetsbaarheden bevatten die we aan zullen moeten pakken met elkaar.’
Het Nationaal Cyber Security Center (NCSC) monitort continu de technische problemen die organisaties ondervinden door een storing in Crowdstrike. ‘De problemen spelen wereldwijd en ook in Nederland worden diverse sectoren getroffen. De oorzaak wordt onderzocht en, in samenwerking met de NCTV, ISAC’s en betrokken departementen, kijken we naar de impact op Nederland.’
Workaround
Op dit moment is er nog geen patch beschikbaar gesteld. Wel is er een workaround aangeboden door CrowdStrike:
- Boot Windows naar de Safe Mode
- Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer
- Lokaliseer bestand “C-00000291-00000000-00000032.sys” bestand, klik op de rechter muisknop en hernoem het bestand naar “C-00000291-00000000-00000032.renamed” (de versie kan verschillen bij uw host)
- Boot de host
Als Crowdstrike geen automische rollback op een faultyDriver-blue screen heeft zal Microsoft dat moeten redden. Ze hebben ook patch deployment in windows update die opgepakt wordt voordat de pc of server weer crasht (vanwege de eerdere bluescreen detecteert ie de patch update). Maar gewoon safe mode kiezen na de blue screen en daarna weer gewoon opstarten zou ook autonoom een rollback van de kapotte driver moeten opleveren en het verhelpen.
Gelukkig geen malware aanval, want dan zouden de gevolgen veel omvangrijker en verdergaand zijn. Crowdstrike heeft de foutieve update snel ingetrokken. Van voorkomen naar oplossen: Windowssysteem in ‘safe modus’ op starten en het foutieve bestand handmatig verwijderen kan, zoals Rob Koelmans aangeeft. Maar dit is bij sommige bedrijven en instellingen vrijwel niet te doen. Grote bedrijven moeten dus nog maar eens naar hun ICT-architectuur gaan kijken.
Crowdstrike moet niet alleen kijken naar hun testomgeving en procedure, maar ook naar de uitrolprocedure. Crowdstrike kan een snelle massale uitrol in één keer tegengaan om te voorkomen dat de gevolgschade zo groot kan worden. Er kan altijd een bug of besmetting in een update zitten.
De workaround staat in het artikel of betreft dit een update? Never waste a good crisis zullen organisaties nog eens kijken naar beleid van updates want hackers begrijpen dat dit een interessant deurtje is. Verder lijkt Crowdstrike te crashen op de beurs want discontinuïteit in allerlei diensten kent een grote financiële impact.
Nou Jaap. Rob heeft het over de wens naar automatische rollback door app zelf of door het OS dat het zou moeten verhelpen.
Wonderlijk dat ik geen klachten hoor over https://www.computable.nl/2020/10/22/lijden-aan-updateritis/
Ik ben niet zo thuis in de Microsoftwereld maar OTAP lijkt me iets algemeens. Als bedrijf wil je misschien niet voor elke pc/laptop aan de balie, maar eerst keertje smoke-testen kan geen kwaad. Maar je kunt ook hopen en vertrouwen dat het gewoon goed gaat en je verlies nemen. Deden we ook met Corona waar wetenschappers al jaren voor gewaarschuwd hadden voor een nog onbekende pandemie. Of de financiele crisis in 2009.
Next-Gen MDR klinkt mooi he. Release early, release often zullen ze Crowdstrike maar hun coole automated test pipelines waren niet zo degelijk als gehoopt.
Business als usual.
De hele excersitie laat zien wat de staat van IT over de hele linie is. Klaarblijkelijk speelt test management en gecontroleerd updaten in IT land geen rol meer. Dan krijg je dit soort, te voorkomen, stompzinnigheid.