Les compagnies aériennes, les processeurs de paiement, les centres d’appels 911, les réseaux de télévision et d’autres entreprises ont été débordés ce matin après qu’une mise à jour boguée du logiciel de sécurité Falcon de CrowdStrike a provoqué le blocage des systèmes Windows avec un message d’erreur redouté d’écran bleu de la mort (BSOD).
Nous mettons à jour notre article sur la panne avec de nouveaux détails au fur et à mesure que nous les recevons. Microsoft et CrowdStrike indiquent tous deux que « la mise à jour concernée a été retirée », donc ce qui est le plus important pour les administrateurs informatiques à court terme est de remettre leurs systèmes en marche. Selon les conseils de Microsoft, les correctifs peuvent être ennuyeux mais faciles à incroyablement longs et complexes, en fonction du nombre de systèmes que vous devez réparer et de la façon dont vos systèmes sont configurés.
La page d’état d’Azure de Microsoft présente plusieurs correctifs. Le premier et le plus simple consiste simplement à essayer de redémarrer les machines affectées à plusieurs reprises, ce qui donne aux machines affectées plusieurs chances d’essayer de récupérer la mise à jour non interrompue de CrowdStrike avant que le mauvais pilote ne puisse provoquer le BSOD. Microsoft indique que certains de ses clients ont dû redémarrer leurs systèmes jusqu’à 15 fois pour obtenir la mise à jour.
Microsoft
Si le redémarrage ne fonctionne pas
Si le redémarrage à plusieurs reprises ne résout pas votre problème, Microsoft recommande de restaurer vos systèmes à l’aide d’une sauvegarde datant d’avant 4h09 UTC le 18 juillet (juste après minuit le vendredi, heure de l’Est), lorsque CrowdStrike a commencé à diffuser la mise à jour erronée. Crowdstrike indique qu’une version rétablie du fichier a été déployée à 5h27 UTC.
Si ces solutions plus simples ne fonctionnent pas, vous devrez peut-être démarrer vos machines en mode sans échec afin de pouvoir supprimer manuellement le fichier à l’origine des erreurs BSOD. Pour les machines virtuelles, Microsoft recommande de connecter le disque virtuel à une machine virtuelle de réparation connue pour pouvoir supprimer le fichier, puis de rattacher le disque virtuel à sa machine virtuelle d’origine.
Le fichier en question est un pilote CrowdStrike situé à Windows/System32/Drivers/CrowdStrike/C-00000291*.sysUne fois le problème résolu, la machine devrait démarrer normalement et récupérer une version non cassée du pilote.
La suppression de ce fichier sur chacun de vos systèmes affectés individuellement prend suffisamment de temps, mais c’est encore plus plus Cette opération prend du temps pour les clients qui utilisent le chiffrement de lecteur BitLocker de Microsoft pour protéger les données au repos. Avant de pouvoir supprimer le fichier sur ces systèmes, vous aurez besoin de la clé de récupération qui déverrouille ces disques chiffrés et les rend lisibles (normalement, ce processus est invisible, car le système peut simplement lire la clé stockée dans un module TPM physique ou virtuel).
Cela peut poser des problèmes aux administrateurs qui n’utilisent pas la gestion des clés pour stocker leurs clés de récupération, car (par conception !) vous ne pouvez pas accéder à un lecteur sans sa clé de récupération. Si vous ne disposez pas de cette clé, Tony Arcieri, ingénieur en cryptographie et en infrastructure sur Mastodon, a comparé cela à une « attaque de ransomware auto-infligée », où un attaquant crypte les disques de vos systèmes et retient la clé jusqu’à ce qu’il soit payé.
Et même si vous disposez d’une clé de récupération, votre serveur de gestion de clés peut également être affecté par le bogue CrowdStrike.
Nous continuerons de suivre les recommandations de Microsoft et de CrowdStrike concernant les correctifs à mesure que les pages de statut respectives de chaque entreprise seront mises à jour.
« Nous comprenons la gravité de la situation et sommes profondément désolés pour la gêne occasionnée et les perturbations », a écrit George Kurtz, PDG de CrowdStrike, sur X, anciennement Twitter. « Nous travaillons avec tous les clients concernés pour garantir que les systèmes sont de nouveau opérationnels et qu’ils peuvent fournir les services sur lesquels leurs clients comptent. »