وقال جورج كورتز، الرئيس التنفيذي للشركة، في بيان: “تعمل كراود سترايك بشكل فعال مع العملاء المتأثرين بعيب تم العثور عليه في تحديث محتوى واحد لأجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز. لم تتأثر أجهزة الكمبيوتر التي تعمل بنظامي التشغيل ماك ولينكس. هذا ليس حادث أمن معلوماتي أو هجوم سيبراني.”
وأقرت الشركة بأنها “تلقت تقارير عن شاشات الموت الزرقاء على أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز”. وقالت أيضًا إنها حددت المشكلة وتم نشر إصلاح لمنتج Falcon Sensor الخاص بها. وحثت العملاء على الرجوع إلى بوابة الدعم للحصول على آخر التحديثات.
بالنسبة للأنظمة التي تأثرت بالفعل بالمشكلة، يتم سرد تعليمات التخفيف أدناه:
- تشغيل ويندوز في الوضع الآمن أو بيئة استرداد ويندوز
- الانتقال إلى المجلد C:\Windows\System32\drivers\CrowdStrike
- ابحث عن الملف الذي يحمل الاسم “C-00000291*.sys” واحذفه
- أعد تشغيل الكمبيوتر أو الخادم بشكل طبيعي
تجدر الإشارة إلى أن الانقطاع أثر أيضًا على محرك حساب Google Cloud، مما تسبب في تعطل الآلات الافتراضية التي تعمل بنظام التشغيل ويندوز والتي تستخدم ملف csagent.sys من كراود سترايك وإدخالها في حالة إعادة تشغيل غير متوقعة.
كما نشرت مايكروسوفت أزور تحديثًا مشابهًا، حيث ذكرت أنها “تلقت تقارير عن نجاح الاسترداد من بعض العملاء الذين حاولوا إجراء عمليات إعادة تشغيل متعددة للآلة الافتراضية على الأجهزة الافتراضية المتأثرة” وأنه “قد تكون هناك حاجة إلى عمليات إعادة تشغيل متعددة (تم الإبلاغ عن ما يصل إلى 15 عملية إعادة تشغيل)”.
من جانبها، قالت أمازون ويب سيرفيسز (AWS) إنها اتخذت خطوات للتخفيف من حدة المشكلة لأكبر عدد ممكن من حالات ويندوز ومساحات عمل ويندوز وتطبيقات Appstream، وأوصت العملاء الذين لا يزالون متأثرين بالمشكلة “بإجراء عملية لاستعادة الاتصال”.
وقال الباحث الأمني كيفن بومونت:
“لقد حصلت على برنامج تشغيل كراود سترايك الذي دفعوه عبر التحديث التلقائي. لا أعرف كيف حدث ذلك، لكن الملف ليس برنامج تشغيل مُهيئ بشكل صحيح ويتسبب في تعطل ويندوز في كل مرة.”
وأضاف: “منتج كراود سترايك هو منتج EDR من الدرجة الأولى. وهو موجود على كل شيء بدءًا من نقاط البيع إلى أجهزة الصراف الآلي وما إلى ذلك. سيكون هذا أكبر حادث ‘سيبراني’ على مستوى العالم من حيث التأثير. على الأرجح.”
كانت شركات الطيران والمؤسسات المالية وسلاسل الأغذية والبيع بالتجزئة والمستشفيات والفنادق والمؤسسات الإخبارية وشبكات السكك الحديدية وشركات الاتصالات من بين العديد من الشركات المتضررة. انخفضت أسهم كراود سترايك بنسبة 15٪ في تداول ما قبل السوق الأمريكية.
تطور الشركة التي تتخذ من تكساس مقراً لها. والتي تخدم أكثر من 530 شركة من ضمن قائمة Fortune 1000. برامج الكشف والاستجابة للنقاط النهائية (EDR) التي تُمنح وصولاً متميزًا ومُحميًا إلى نواة نظام التشغيل للإبلاغ عن تهديدات الأمان وحظرها. ومع ذلك. يمنحهم هذا الوصول أيضًا صلاحيات واسعة النطاق لتعطيل الأنظمة نفسها التي يحاولون تأمينها.
وقال عمر جروسمان. رئيس قسم المعلومات (CIO) في شركة CyberArk. في بيان : “يظهر الحدث الحالي من تحديث خاطئ من كراود سترايك – حتى في يوليو – أنه سيكون من أهم مشكلات الأمن الإلكتروني لعام 2024. الأضرار التي تلحق بالعمليات التجارية على المستوى العالمي هائلة.
استمرار التأثير وتداعيات أوسع:
يتوقع أن يستغرق التعافي من الخلل أيامًا. حيث يتعين حل المشكلة يدويًا. نقطة بنقطة. من خلال تشغيلها في الوضع الآمن وإزالة برنامج التشغيل المعيب. وأشار جروسمان إلى أن السبب الجذري وراء الخلل سيكون “محل اهتمام كبير”.
أكد جيك مور. المستشار العالمي للأمن في شركة ESET للأمن السيبراني السلوڤاكية. على أن الحادث يسلط الضوء على الحاجة إلى تنفيذ “مفاتيح أمان متعددة” وتنويع البنية التحتية لتكنولوجيا المعلومات.
وقال مور: “يمكن أن تتضمن الترقيات والصيانة للأنظمة والشبكات عن غير قصد أخطاء صغيرة، والتي يمكن أن يكون لها عواقب واسعة النطاق كما هو الحال اليوم مع عملاء CrowdStrike.”
“جانب آخر لهذا الحادث يتعلق بـ ‘التنوع’ في استخدام البنية التحتية لتكنولوجيا المعلومات واسعة النطاق. ينطبق هذا على الأنظمة الحاسمة مثل أنظمة التشغيل (OSes) ومنتجات الأمن السيبراني والتطبيقات الأخرى المُستخدمة والمُطبقة عالميًا. عندما يكون التنوع منخفضًا. يمكن أن يؤدي حادث تقني واحد. ناهيك عن مشكلة أمنية. إلى انقطاعات واسعة النطاق مع تأثيرات لاحقة.”
دروس مستفادة وتوصيات:
يأتي هذا التطور بينما كانت Microsoft تتعافى من انقطاع منفصل خاص بها تسبب في مشكلات في تطبيقات وخدمات Microsoft 365، بما في ذلك Defender و Intune و OneNote و OneDrive for Business و SharePoint Online و Windows 365 و Viva Engage و Purview.
قال عمقار أراساراتنام، المدير العام لـ OpenSSF، إن انقطاعات Microsoft و CrowdStrike تبرز هشاشة سلاسل التوريد أحادية الثقافة وتؤكد على أهمية تنوع مجموعات التكنولوجيا لمزيد من المرونة والأمان.
وأشار أراساراتنام إلى أن “سلاسل التوريد أحادية الثقافة (نظام تشغيل واحد. EDR واحد) هشة بطبيعتها وعرضة للأعطال النظامية – كما رأينا”. “يخبرنا هندسة النظام الجيدة أنه يجب طرح التغييرات في هذه الأنظمة تدريجيًا، مع مراقبة التأثير في شرائح صغيرة بدلاً من كل شيء دفعة واحدة. يمكن للنظم البيئية الأكثر تنوعًا تحمل التغييرات السريعة لأنها مقاومة للمشكلات النظامية.”
في أعقاب الخلل الفادح. أكدت Microsoft أنها “تعمل بشكل وثيق مع CrowdStrike وشركاء آخرين في المجال لتزويد العملاء بالتوجيه والدعم الفني لإعادة تشغيل أنظمتهم بأمان”.
يظهر هذا الحادث العالمي مدى اعتماد الشركات على التكنولوجيا. والضرر الكبير الذي يمكن أن تحدثه الأخطاء البرمجية. حتى تلك غير المقصودة. يُسلط الضوء أيضًا على الحاجة إلى وجود خطط طوارئ قوية وأنظمة متعددة المصادر للحد من تأثير مثل هذه الانقطاعات.