CrowdStrike güncellemesi, 18 Temmuz Cuma günü dünya çapındaki Windows sistemleri için mavi ekran hatasına (BSOD: blue screen of death) yol açtı. Bankacılıktan sağlık hizmetlerine ve hava yolu hizmetlerine kadar günlük hayatın işleyişini etkileyecek şeylerin çoğunu sekteye uğrattı. Uzmanlar bunu tüm zamanların en büyük BT kesintisi olarak nitelendirdi.
Türkiye saatiyle 19 Temmuz 08.00 civarında yeni bir güncelleme yayınlayarak eski güncelleme hatasının önüne geçmeye çalıştıklarını ve bazı kurumlar için hatadan kaynaklanan sorunların ortadan kaldırılacağını düşündüklerini aktardılar.
Peki, şu an Crowdstrike kesintisi ile ilgili bilmeniz gereken güncellemeler neler?
Bazı işletmeler İçin Kesinti Hâlâ Sürüyor
Hatalı güncellemenin yapıldığı tarihten sonraki hafta sonu yeni bir düzeltme güncellemesi yayınlanmıştı. Bu güncelleme ile birlikte sorunların ortadan kaldırılması hedeflendi.
Bazı işletmeler için bu güncellemeyle sorunlar ortadan kalkarken bazıları için hâlâ normalleşmemiş durumlar olduğu göze çarpıyor. Tarihin en büyük BT kesintisi olarak nitelendirilen bu kesintinin ardından bazı fonksiyonların hâlâ düzelmediği aktarılıyor.
Microsoft, CrowdStrike Kesintisini Çözmek İçin Kurtarma Araçları Yayınladı
Microsoft’un sunduğu yeni araç, BT yöneticilerinin mavi ölüm ekranından (BSOD) daha otomatik bir şekilde kurtulmalarına olanak sağlamak için tasarlandı.
Microsoft Download Center’da bulunabilecek yeni Microsoft kurtarma aracı, iki onarım seçeneğiyle sunuyor ve sanal olarak Hyper-V’de barındırılan Windows istemcilerini, sunucularını ve işletim sistemlerini kullanan kullanıcıların sorunlarını çözmeyi amaçlıyor.
Windows PE İçin Kurtarma Aracı
WinPE’den kurtarma aracı; sistemleri hızlı ve doğrudan kurtarmayı amaçlıyor ve yerel yönetici yetkileri gerektirmeyebiliyor. Araç, bilgisayar sürücüsüne erişmek ve bozuk dosyayı otomatik olarak silme işlemini bir USB aracılığıyla yapıyor.
Microsoft, WinPE’den kurtarmanın bazı kullanıcılar için (örneğin BitLocker şifrelemesi kullanılıyorsa) tamamen otomatik olmadığını, kurtarma anahtarının manuel olarak girilmesi gerekebileceğini aktardı.
Güvenli Moddan Kurtarma Aracı
Microsoft, bu seçeneğin; etkilenen cihazların güvenli modda önyükleme yapabilmesi için önyükleme ortamı ürettiğini ve böylece kullanıcının daha sonra yerel yönetici hesabını kullanarak giriş yapabileceğini ve düzeltme adımlarını çalıştırabileceğini aktardı.
Microsoft’a göre “Güvenli moddan kurtar” seçeneği, BitLocker kurtarma anahtarlarının girilmesine gerek kalmadan BitLocker özellikli cihazlarda kurtarmayı etkinleştirebilir.
Microsoft, bu seçeneğin güvenli moddan kurtarmayı denediğini, yerel yönetici haklarına sahip bir hesap gerektirdiğini ve “yalnızca yalnızca TPM koruyucuları kullanan cihazlarda, şifrelenmemiş cihazlarda veya BitLocker kurtarma anahtarının bilinmediği durumlarda kullanılması gerektiğini” söyledi.
Kesinti Boyunca Crowdstrike Hisseleri Düştü
18 Temmuz Cuma CrowdStrike’ın neden olduğu Microsoft Windows kesintisinin ardından Wall Street analistlerinin notlarının düşmesi ve devam eden uçuş kesintileri, siber güvenlik sağlayıcısının hisse senedi fiyatını düşürdü.
22 Temmuz Pazartesi sabahı itibarıyla CrowdStrike’ın hisse fiyatı yüzde 10,6 düşüşle hisse başına 272,46 dolara geriledi. Bu, dünya çapındaki büyük kesintinin ardından Cuma günü CrowdStrike hisselerinin gördüğü yüzde 11,1’lik düşüşün üstüne çıktı.
CrowdStrike Güncellemesi 8,5 Milyon Windows Cihazında Kesintiye Neden Oldu
Microsoft, BT alanında büyük kesintilere yol açan ve birçok farklı türden işletmenin, mavi ekran hatası alması ile sonuçlanan güncellemenin, yalnızca 8.5 milyon Windows cihazında kesintiye sebep olduğunu, bunun da tüm Windows cihazlarının %1’inden azına tekabül ettiğini açıkladı.
Microsoft, “Yüzde küçük olsa da, geniş ekonomik ve toplumsal etkiler, birçok kritik hizmeti yürüten kuruluşların CrowdStrike kullanımını yansıtıyor” dedi.
Kusurlu CrowdStrike Falcon Güncellemesinin Sebepleri
Şirket, bu tip güncellemeler çok yaygın olduğundan büyük ölçüde yıkıcı hatanın tam olarak neden oluştuğunun belirsizliğini koruduğunu söylüyor. CrowdStrike, Microsoft kesintisinin suçlusu olarak bir “mantık hatası” tespit etti. Programlama hatası, sıklıkla yapılan bir güncelleme türü olan Falcon’a yapılan sensör konfigürasyonu güncellemesiyle tetiklendi.
CrowdStrike, bu mantık hatasının nasıl oluştuğunu belirlemek için kapsamlı bir temel neden analizi yaptıklarını iletti. Bunun yanı sıra yayınladıkları blog gönderisinde, etkilenen dosyaların bazı raporların bahsettiği gibi “çekirdek sürücüleri” olmadığı aktardı.
Şirket, sorunu tetikleyen sensör güncellemesinin “yeni gözlemlenen” ve “kötü amaçlı” iletişim altyapısını hedef alacak şekilde tasarlandığını aktardı. CrowdStrike, bu altyapının veya “kötü amaçlı adlandırılmış kanalların” siber saldırıların bir parçası olarak ortak komuta ve kontrol çerçeveleri tarafından kullanıldığının gözlemlendiğini söyledi.