Merhaba,
Bazen hayatın yoğunluğundan dolayı bazı konulara hemen değinemeyebiliyoruz. CrowdStrike olayı da böyle oldu; bu önemli gelişme hakkında yazmak için uygun zamanı bulamamıştım. Neyse ki, bugün bu konuyu ele almanın tam vakti olduğunu düşündüm ve bu yazıyı sizinle paylaşmak istedim.
Yakın zaman önce herkesin alan hakkında ilgisi olsun olmasın yakından takip ettiği CrowdStrike olayı sebebiyle Dünya hareketli günler geçirdi.
19 Temmuz 2024 tarihinde CrowdStrike, Falcon platformunun sensör yapılandırma güncellemesini yayınladı. Bu güncelleme, bir mantık hatasını tetikleyerek Windows sistemlerinde halk diliyle “Mavi Ekran” sektörde ise “Blue Screen of Death” (BSoD) adıyla bilinen sistem çökmelerine neden oldu. Mantık hataları, bir programın kaynak kodunda bulunan ve anormal uygulama davranışlarına veya sistem çökmelerine yol açan yazılım hatalarıdır.
Etkilenen sistemler, Windows 7.11 ve üzeri sürümlerini çalıştıran cihazlardı. Bu sensör yapılandırma güncellemeleri, Falcon platformunun davranışsal koruma mekanizmalarına bağlanan “kanal dosyaları” (telemtry/channel files) olarak bilinir. Microsoft, CrowdStrike’ın güncellemesinin dünya genelinde yaklaşık 8.5 milyon Windows cihazını etkilediğini açıkladı. Bu, tüm Windows cihazlarının yüzde birinden azını oluşturmasına rağmen, kesintinin ekonomik ve toplumsal etkileri geniş çaplı oldu.
Kesintinin ardından, CrowdStrike CEO’su George Kurtz, müşterilere doğrudan özür dileyerek hatanın nasıl oluştuğunu anlamak için kapsamlı bir “Root Cause Analysis” (RCA) işlemlerini yapacaklarını belirtti.
CrowdStrike, temel veya iş akışı iyileştirmeleri yaparak süreçlerini güçlendirmek için çaba göstereceklerini vurguladı. CrowdStrike, etkilenen sistemler için bir düzeltme yayımladı ve bu kesintinin bir siber güvenlik olayı veya saldırısıyla ilgili olmadığını belirtti. Ancak, bu tür hizmet kesintileri sırasında tehdit aktörlerinin fırsatları değerlendirme olasılığı bulunduğundan, güvenlik uzmanları dikkatli olunması gerektiğini vurguladı.
CrowdStrike, sensör güncellemelerinin gün içerisinde birkaç kez gerçekleştiğini ve bu güncellemelerin, CorwdStrike tarafından keşfedilen yeni tehdit taktikleri, teknikleri ve prosedürlerine dair bilgileri içerdiğini belirtti. İlgili dosya C:\\Windows\System32\drivers\CrowdStrike\ dizininde bulunuyor ve “C-” ile başlayan bir dosya adında yer alıyor.
Sorun ilk farkedildiğinde üretilen çözüm;
Windows’u Recovery modunda başlatın,
C:/ sürücüsünün System32/Crowdstrike klasörüne girin.
“csagent.sys” dosyasını “csagent.sys.old” olarak yeniden adlandırın (bu iki dosyayı silin). Bu işlem işe yaramadığı takdirde ise bir diğer çözüm önerisi şu olmuştur:
Windows’u Güvenli Modda veya Windows Kurtarma Ortamı’nda başlatın.
C:\Windows\System32\drivers\CrowdStrike dizinine gidin.“C-00000291*.sys” ile eşleşen dosyayı bulun ve silin.
Bilgisayarı normal şekilde başlatın.
SONUÇ
CrowdStrike, yaşanan büyük kesintinin ardından hızlı bir şekilde harekete geçerek gerekli düzeltmeleri yapmış ve gelecekte benzer olayların tekrar yaşanmaması için süreçlerini güçlendirme taahhüdünde bulunmuştur. Şirketin olayla ilgili şeffaflığı ve hızlı aksiyon alması, siber güvenlik topluluğunda olumlu bir yankı bulmuştur. CrowdStrike’ın Microsoft ile olan yakın işbirliği, kesintinin etkilerini hafifletmekte önemli bir rol oynamıştır. Bundan çıkarılması gereken en önemli derslerden biri de; eğer göz önünde önemli noktada bir kurum olduğunuzda fırsatçılara karşı her zaman hazırlıklı ve hata yapma lüksü olmayan bir şirket olduğunuzu unutmamanız gerekir. Bu süreçte birçok fırsatçı DNS Hijacking ile DNS kayıtlarını manipüle ederek kullanıcıları sahte veya kötü niyetli web sitelerine yönlendirmeler yaptılar.