Panne liée à l’agent EDR CrowdStrike : point sur la situation et nouvelles recommandations
juillet 22, 2024
2 minutes de lecture
Le 19 juillet 2024, une mise à jour de l’agent de l’EDR Crowdstrike Falcon a causé des perturbations majeures sur les systèmes Microsoft Windows, allant jusqu’à l’apparition d’écrans bleus (BSOD). Environ 8,5 millions d’ordinateurs ont été touchés, soit environ 1% du parc mondial.
Recommandations de remédiation :
- Pour les machines physiques : Redémarrez en mode sans échec et supprimez les fichiers problématiques dans le répertoire CrowdStrike.
- Pour les systèmes virtualisés : Détachez le disque affecté, supprimez les fichiers problématiques, puis rattachez le disque. Alternativement, restaurez une version antérieure au 19 juillet.
- Pour les systèmes virtualisés nuagiques : Suivez les recommandations de Microsoft Azure, AWS, ou Google Cloud.
Crowdstrike a publié des instructions de contournement et il est recommandé de les consulter pour des mesures spécifiques à chaque cas.
Durant le week-end, des groupes criminels ont cherché à tirer parti de la panne. Crowdstrike a annoncé avoir observé la diffusion d’un fichier se présentant comme un correctif, qui contenait en réalité un rançongiciel. Plusieurs faux sites usurpant l’identité de l’entreprise ont été créés durant le week-end, et cherchaient notamment à diffuser ce fichier piégé.
CrowdStrike et Microsoft ont développé des solutions permettant une remédiation plus rapide via clé USB ou par les outils de gestion de parc. Se renseigner auprès des éditeurs :
- CrowdStrike : Falcon Content Update Remediation and Guidance Hub | CrowdStrike
- Microsoft : KB5042421: CrowdStrike issue impacting Windows endpoints causing an 0x50 or 0x7E error message on a blue screen – Microsoft Support
Le CERT-FR continue de suivre la situation et mettra à jour ce bulletin avec les nouvelles informations disponibles. Pour plus d’information, consultez l’avis du CERT-FR ci-dessous :
Partager :