Un composant défectueux de la dernière mise à jour de CrowdStrike Falcon plante les systèmes Windows, affectant diverses organisations et services à travers le monde, y compris les aéroports, les chaînes de télévision et les hôpitaux.
Le problème affecte les postes de travail et les serveurs Windows, les utilisateurs signalant des pannes massives qui ont mis hors ligne des entreprises entières et des flottes de centaines de milliers d’ordinateurs.
Selon certains rapports, les services d’urgence aux États-Unis et au Canada ont également été touchés.
Solution de contournement pour la mise à jour de CrowdStrike glitched
Au cours des dernières heures, les utilisateurs se sont plaints du blocage des hôtes Windows dans une boucle de démarrage ou de l’affichage de l’Écran bleu de la mort (BSOD) après l’installation de la dernière mise à jour pour CrowdStrike Falcon Sensor.
Le fournisseur de sécurité a reconnu le problème et a publié une alerte technique expliquant que ses ingénieurs “avaient identifié un déploiement de contenu lié à ce problème et annulé ces modifications.”
“Les symptômes incluent les hôtes rencontrant une erreur de vérification de bogue\écran bleu liée au capteur Falcon”, indique CrowdStrike dans l’alerte technique.
La société a révélé que le coupable est un fichier de canal, qui contient des données pour le capteur (par exemple des instructions). Puisqu’il ne s’agit que d’un composant de la mise à jour du capteur, ce type de fichier peut être traité individuellement sans supprimer la mise à jour du capteur Falcon.
Pour les personnes déjà touchées, CrowdStrike fournit les étapes de contournement suivantes:
- Démarrez Windows en mode sans échec ou dans l’environnement de récupération Windows
- Naviguez vers le C:\Windows\System32\drivers\CrowdStrike annuaire
- Localisez le fichier correspondant à » C-00000291*.sys”, et supprimez-le.
- Démarrez l’hôte normalement.
George Kurtz, le Président et chef de la direction de CrowdStrike a annoncé il y a quelques minutes que la société “travaillait activement avec les clients” et a confirmé que les problèmes sont causés “par un défaut trouvé dans une seule mise à jour de contenu pour les hôtes Windows.”
“Nous recommandons en outre aux organisations de s’assurer qu’elles communiquent avec les représentants de CrowdStrike par les canaux officiels. Notre équipe est pleinement mobilisée pour assurer la sécurité et la stabilité des clients de CrowdStrike » – George Kurtz
Le PDG de CrowdStrike a déclaré qu’un correctif était disponible et a conseillé aux clients d’accéder au portail d’assistance pour obtenir les dernières mises à jour.
Dans une déclaration mise à jour, CrowdStrike indique que « le fichier de chaîne problématique [C-00000291.sys » avec l’horodatage de 0409 UTC] a été annulé » et la bonne version de celui-ci est C-00000291.sys avec horodatage de 0527 UTC ou plus tard.
La société propose également deux options pour résoudre le problème dans les environnements cloud et virtuels, une variante étant de revenir à un instantané avant 04h09 UTC. La deuxième option est la procédure en sept étapes suivante:
- Détachez le volume de disque du système d’exploitation du serveur virtuel affecté
- Créez un instantané ou une sauvegarde du volume de disque avant d’aller plus loin par mesure de précaution contre les modifications involontaires
- Attacher / monter le volume sur un nouveau serveur virtuel
- Accédez au répertoire%WINDIR % \System32\drivers\CrowdStrike
- Localisez le fichier correspondant à » C-00000291*.sys”, et supprimez-le.
- Détacher le volume du nouveau serveur virtuel
- Rattacher le volume fixe au serveur virtuel impacté
Une panne frappe les compagnies aériennes et les hôpitaux du monde entier
Au moment de la correction, cependant, de nombreuses grandes organisations de plusieurs secteurs verticaux avaient déjà été touchées.
Certains rapports indiquent que la mise à jour de CrowdStrike a eu un impact sur certaines agences de services d’urgence 911 dans l’État de New York (EMS, police, pompiers), en Alaska et en Arizona, ainsi que sur les services 911 dans certaines régions du Canada.
Un opérateur de télécommunication 911 dans l’Illinois a déclaré qu’ils “travaillaient sur papier jusqu’à ce que les choses reviennent.”
Il y a également des rapports selon lesquels la hotline sanitaire en Catalogne, en Espagne, est touchée et les autorités demandent aux citoyens de ne pas appeler le 061 sauf en cas d’urgence.
L’organisme de radiodiffusion néerlandais NOS a déclaré que le problème avait créé des perturbations à l’aéroport de Schiphol et “forcé l’immobilisation de plusieurs vols « (opérés par KLM et Transavia).
L’aéroport de Melbourne a déclaré qu’il connaissait “un problème technologique mondial qui a un impact sur les procédures d’enregistrement de certaines compagnies aériennes.” Les plus touchés sont les passagers au départ de l’étranger via Jetstar et Scoot airlines.
Il y a quelques heures, dans la dernière mise à jour, l’aéroport de Zurich a déclaré que « les vols à destination de Zurich qui sont déjà en vol sont toujours autorisés à atterrir », aucun avion « ne décolle actuellement pour l’aéroport de Zurich » et il n’y a pas de départs vers les États-Unis.
De plus, il y a des retards et des annulations et les passagers des compagnies aériennes individuelles doivent être enregistrés manuellement.
Les autres aéroports concernés sont Berlin, Barcelone, Brisbane, Edimbourg, Amsterdam et Londres.
Aux États-Unis, la Federal Aviation Administration a reçu des demandes d’assistance de plusieurs compagnies aériennes (American Airlines, United, Delta) avec des escales au sol jusqu’à ce qu’un « problème technique affectant les systèmes informatiques » soit résolu.
Sur les aéroports JFK et LaGuardia aux États-Unis, les vols ont été cloués au sol en raison de pannes dues à la mise à jour CrowdStrike, laissant les passagers bloqués.
Certains hôpitaux aux Pays-Bas-Scheper à Emmen, l’hôpital Slingeland à Achterhoek et les postes d’urgence à Hoogeveen et Stadskanaal ont également été touchés.
À Barcelone, l’Hôpital Universitaire de Terrassa et l’Institut catalan d’oncologie ont connu des problèmes plus tôt dans la journée en raison du problème de la foule, mais ont commencé à reprendre une activité normale.
Aux États-Unis, l’hôpital Bellevue à New York et l’hôpital NYU Langone sont également touchés.
Vendredi matin, plusieurs chaînes de télévision et organes de presse, tels que Sky News et ABC, ont été perturbés par des pannes d’ordinateurs.
Un grand nombre d’utilisateurs ont commencé à exprimer leur frustration dans les commentaires de Reddit sur des dizaines, voire des centaines de milliers d’ordinateurs qui se sont écrasés après la mise à jour de CrowdStrike et l’impact sur leurs entreprises:
Malaisie ici, 70% de nos ordinateurs portables sont en panne et bloqués au démarrage, le siège du Japon a ordonné une fermeture à l’échelle de l’entreprise
210K BSOD tous à 10h57 PST….et ça continue d’augmenter…c’est mauvais….
Postes de travail et serveurs ici en Australie… flotte de 50k + – quelqu’un va s’amuser.
L’échec ici est aussi l’Australie. Toute notre entreprise est hors ligne
Pareil ici à OZ. Toute l’entreprise est en panne.
La moitié de l’entreprise en panne. D’une manière ou d’une autre, il a également touché nos serveurs AWS. Temps d’arrêt majeur pour nos clients
Des organisations entières et des entités commerciales ici. La moitié sont verrouillés.
Voyant des problèmes majeurs ici en Nouvelle-Zélande en ce moment, une panne à l’échelle de l’entreprise a un impact sur les serveurs et les postes de travail.
Prise en charge des sites aux Philippines et en Chine. Tous vivent la même chose aussi
Bien qu’un correctif soit déployé et que CrowdStrike fournisse une solution de contournement pour les hôtes Windows qui plantent déjà, les entreprises ressentiront les effets du problème pendant un certain temps.
Les administrateurs vont passer un long week-end, en particulier avec des flottes informatiques de dizaines ou de centaines de milliers d’ordinateurs, des employés travaillant à distance, des centres de données hors site ou des environnements cloud où le démarrage en mode sans échec n’est pas une option.