[Mise à jour du 22 juillet 2024]

Le 19 juillet 2024, le CERT-FR a été informé d’incidents affectant des systèmes sur lesquels l’agent de l’EDR Crowdstrike Falcon est installé et utilisant le système d’exploitation Microsoft Windows.

Le présent bulletin d’actualité reprend les différents éléments dont le CERT-FR a connaissance.

Contexte

Le 19 juillet 2024 à 6h09 heure de Paris (4h09 UTC), l’éditeur Crowdstrike a déployé une mise à jour de l’agent de l’EDR Crowdstrike Falcon qui a provoqué de fortes perturbations système pouvant aller jusqu’à un écran bleu (BSOD) sur les systèmes Microsoft Windows.

A ce stade, le CERT-FR ne dispose d’aucun élément indiquant que cet incident soit lié à une attaque informatique. ll est à noter que Crowdstrike a publié un billet de blogue le 20 juillet indiquant que cet évènement n’est pas le résultat d’une cyberattaque, et a donné des précisions sur les circonstances de l’évènement.

Cependant, au regard des effets sur la disponibilité des systèmes engendré par cet incident, le CERT-FR propose une synthèse des recommandations dont il a connaissance.

Ce bulletin d’actualité sera réactualisé en fonction des nouvelles informations dont disposera le CERT-FR.

Le CERT-FR a connaissance de tentatives d'exploitation malveillantes de la situation (phishing, fausses pages d'information, incitation à l'installation de logiciels malveillants). Le CERT-FR vous invite à la plus grande prudence et vous recommande de télécharger les outils de remédiation et d'appliquer les recommandations uniquement à partir des sites officiels des éditeurs.

Synthèse des recommandations de remédiation

Crowdstrike a publié une page d'assistance proposant plusieurs guides de remédiation visant à aider les entités affectées par cet incident. Celle-ci propose différentes méthodes pour réaliser à grande échelle la remédiation en fonction des ressources et outils potentiellement disponibles au sein d'une entité.

L'éditeur Microsoft a également publié un outil pour assister les opérations de remédiation poste par poste.

Les mesures indiquées n’ont pas été testées par le CERT-FR.

Suivant votre configuration, l'accès au disque peut requérir :

  • un compte local d’administration,
  • la clé de récupération Bitlocker.

Il peut arriver que dans les cadre des opérations de remédiation les mots de passe de récupération aient été exposés. Si cela est le cas, il est recommandé de les renouveller sur tout le parc dès le retour à la normale.

Pour plus d'information, se référer aux documentations éditeurs citées en référence. Les clients Microsoft et Crowdstrike peuvent contacter le support de leurs éditeurs pour obtenir des éléments complémentaires permettant d'automatiser la remise en service.

Pour les machines physiques

Solution 1 : Méthode manuelle

  1. Redémarrer la machine pour permettre une mise à jour de l’agent.
  2. En cas d’échec, démarrer le système d’exploitation en mode « sans échec » (« safe mode ») ou en utilisant le Windows Recovery Environment.
  3. Supprimer tout fichier de la forme "C-00000291*.sys" dans le répertoire %WINDIR%\System32\drivers\CrowdStrike.
  4. Redémarrer la machine.

Solution 2 : Méthode automatisée

Se référer aux guides proposés par Crowdstrike et Microsoft

Pour les systèmes virtualisés

Solution 1 : Méthode manuelle

  1. Détacher de la machine virtuelle le disque sur lequel le système d'exploitation est installé, et en effectuer une copie par mesure de précaution.
  2. Procéder au montage du disque sur une machine virtuelle saine, puis supprimer le fichier de la forme "C-00000291*.sys" dans le répertoire %WINDIR%\System32\drivers\CrowdStrike.
  3. Rattacher le disque sur la machine virtuelle affectée.

Solution 2 : Méthode manuelle

Une autre solution consiste à restaurer une version des systèmes affectés antérieure au 19 juillet 2024 4h09 UTC (6h09 heure de Paris).

Solution 3 : Méthode automatisée

Se référer aux guides proposés par Crowdstrike et Microsoft

Pour les systèmes virtualisés nuagiques

Les editeurs de services nuagiques suivants ont publié des recommandations de remise en service :

Références

Rappel des publications émises

Dans la période du 15 juillet 2024 au 21 juillet 2024, le CERT-FR a émis les publications suivantes :