Tehdit aktörleri, Crowdstrike’un Cuma günü Veri Silinicileri ve uzaktan erişim araçları olan şirketleri hedeflemek için CrowdStrike’ın Glitchy güncellemesinden büyük iş aksamalarından yararlanıyor.
İşletmeler etkilenen Windows sunucularını düzeltmek için yardım ararken, araştırmacılar ve devlet kurumları, durumdan yararlanmaya çalışan kimlik avı e -postalarında bir artış olduğunu tespit ettiler.
Bugünkü bir güncellemede, Crowdstrike, dünya çapında milyonlarca Windows sunucusunu çökerten son içerik güncellemesinden “aktif olarak yardımcı olduğunu” söylüyor.
Şirket, müşterilere resmi kanallar aracılığıyla meşru temsilcilerle iletişim kurduklarını doğrulamalarını tavsiye ediyor, çünkü “düşmanlar ve kötü aktörler bu tür olayları kullanmaya çalışacaklar”.
“Herkesi uyanık kalmaya ve resmi Crowdstrike temsilcileriyle etkileşime girmenizi sağlamaya teşvik ediyorum. Blogumuz ve teknik desteğimiz en son güncellemelerin resmi kanalları olmaya devam edecek ” - George Kurtz, Crowdstrike CEO'su
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), kesintiden yararlanmayı amaçlayan kimlik avı mesajlarında bir artış gözlemlediği konusunda uyardı.
Otomatik kötü amaçlı yazılım analizi platformu Anyrun “potansiyel olarak kimlik avına yol açabilecek ve potansiyel olarak kimlik avına yol açabilecek girişimlerde bir artış” fark etti [1, 2, 3].
Cumartesi günü Anyrun, kötü niyetli aktörlerin, enfekte olmuş sistemdeki Remcos uzaktan erişim aracını bırakan HijackLoader'ı teslim etmek için Crowdstrike olayından yararlanmaya başladığını bildirdi.
Kurbanları kötü amaçlı yazılımları kurmaya kandırmak için, tehdit oyuncusu, CrowdStrike'tan bir hotfix vermeyi vaat eden bir Winrar arşivinde hakem yükleyici yükünü gizledi.
Başka bir uyarıda Anyrun, saldırganların CrowdStrike'tan bir güncelleme yapma bahanesi altında bir veri silecek dağıtır.
“Dosyaları sıfır baytlı üzerine yazarak sistemi yok eder ve daha sonra #Telegram üzerinden rapor eder” - Anyrun.
Başka bir örnekte, kötü amaçlı yazılım analizi platformu, siber suçluların Crowdstrike güncellemeleri veya hata düzeltmeleri olarak poz veren diğer kötü amaçlı yazılım türlerini yaymaya başladığını not eder.
Bir kötü amaçlı yürütülebilir, CrowdStrike'ın resmi güncellemesinin bölümlerini içeren bir PDF dosyasındaki bir bağlantı aracılığıyla teslim edildi. URL, Update.zip adında bir arşive yol açtı ve kötü amaçlı yürütülebilir crowdstrike.exe.
CrowdStrike’ın yazılım güncellemesindeki kusurun çok sayıda kuruluştaki Windows sistemleri üzerinde büyük bir etkisi oldu, bu da siber suçluların geçmesi için çok iyi bir fırsat sağladı.
Microsoft'a göre, hatalı güncelleme “8,5 milyon pencere cihazını etkiledi veya tüm Windows makinelerinin yüzde birinden daha azı”.
Hasar 78 dakika içinde 04:09 UTC ve 05:27 UTC arasında gerçekleşti.
Etkilenen sistemlerin ve Crowdstrike’ın sorunu hızlı bir şekilde düzeltme çabalarının düşük yüzdesine rağmen, etki çok büyüktü.
Bilgisayar kazaları, binlerce uçuşun iptal edilmesine, finans şirketlerinde faaliyetin bozulmasına, hastaneleri, medya kuruluşlarını, demiryollarını ve hatta etkilenen acil servisleri düşürmesine yol açtı.
Cumartesi günü mortem sonrası blog yayınında Crowdstrike, kesintinin nedeninin, bir kazaya yol açan bir mantık hatasını tetikleyen Windows ana bilgisayarlarına (sürüm 7.11 ve üstü) bir kanal dosyası (sensör yapılandırması) güncellemesi olduğunu açıklıyor.
Kazalardan sorumlu kanal dosyası tanımlanmış ve artık sorunlara neden olmasa da, sistemleri normal işlemlere geri yüklemek için mücadele eden şirketler, Crowdstrike'ın bireysel ana bilgisayarları, bitlocker tuşlarını ve bulut tabanlı ortamları kurtarmak için talimatlarını takip edebilir.
Crowdstrike güncellemesi Windows sistemlerini çöker, dünya çapında kesintilere neden olur
Microsoft, Crowdstrike güncellemesinin Windows 365 PC'lerini de onayladı
Azure yapılandırma değişikliğinin neden olduğu büyük Microsoft 365 kesinti
Microsoft: Windows 11 23H2 Artık tüm uygun cihazlar için kullanılabilir
Microsoft: Windows 11 22H2 Ekim ayında hizmetin sonuna ulaştı
Kaynak: Bleeping Computer