emergency responseIntervention d’urgence
CONTACTEZ

Accueil | Incident CrowdStrike et Microsoft

Incident CrowdStrike et Microsoft

juillet 19, 2024 | By / Par : Virtual Guardian
Share: linked intwitter

Chers clients,

Une panne d’envergure mondiale affecte actuellement les ordinateurs et machines virtuelles équipés de la suite de sécurité Crowdstrike Falcon.

L’incident serait lié à une mise à jour défectueuse du logiciel Crowdstrike.

Les symptômes sont notamment des « écrans bleus » liés au Sensor CS Falcon et des redémarrages.

Depuis cette nuit, notre Security Operation Center (SOC) a activé sa cellule de crise, en lien avec nos partenaires Microsoft et Crowdstrike.

Pour nos clients Crowdstrike, une surveillance accrue de votre équipe Gardien Virtuel de la situation est mise en place afin de détecter tout évènement ou comportement suspicieux. En effet, la solution Crowdstrike Flacon étant désactivée, cela représente des opportunités pour des pirates informatiques susceptibles de lancer des attaques au fur et à mesure des prochaines reconnexions, mises à jour, voire suppressions temporaires de la solution.

Nos équipes contactent l’ensemble de nos clients depuis 03 :00am EST afin de vérifier avec chacun d’entre eux l’impact éventuel de la panne et offrir une assistance dans la résolution de l’incident.

Notamment, Crowdstrike nous a fourni la liste des équipements impactés par la panne chez nos clients, car tous nos clients ne sont pas concernés par cet évènement. Crowdstrike a, en effet, arrêté cette mise à jour suite à la constatation de l’échec.

Procédure préconisée pour la résolution du problème :

Nous vous proposons, ci-dessous, deux procédures en fonction de votre situation.

Si vous avez la solution Bitlocker :

  1. Redémarrer le PC touché jusqu’à atteindre l’écran de récupération de Windows
  2. Sélectionner Dépannage > Options Avancées >Options de démarrage
  3. Appuyer sur redémarrer
  4. Passer l’invite vous demander la clé de récupération BitLocker en appuyant sur Echap
  5. Passer la seconde invitation à entrer votre clé BitLocker en sélectionnant Ignorer ce disque dans le coin
    inférieur droit
  6. Sélectionner Dépannage > Options Avancées > Invite de commandes
  7. Tapez : “bcdedit /set {default} safeboot minimal” et appuyer sur Entrée
  8. Taper Exit pour fermer la fenêtre et appuyer sur Continuer dans l’interface de récupération
  9. Le PC va redémarrer en mode sans échec
  10. Connectez-vous comme d’habitude avec vos identifiants
  11. Ouvrez l’explorateur de fichier pour arriver à C:\Windows\System32\drivers\Crowdstrike
  12. Supprimer le fichier commençant par C-00000291 avec l’extension .sys
  13. Ouvrez une invite de commande en administrateur
  14. Tapez “bcdedit /deletevalue {default} safeboot” et appuyez sur entrée
  15. Redémarrez et votre PC est de nouveau fonctionnel

À défaut, ci-jointe la procédure communiquée par Crowdstrike :

pdf icon

Crowdstrike et Microsoft incident pdf


Enjeux avec la console d’administration Microsoft.

En parallèle de cet événement majeur, Microsoft nous signale une importante dégradation de service liée à la console d’administration Azure 365.

Ces deux évènements sont distincts mais nécessitent chacun une attention particulière.

Afin de suivre l’évolution de cet autre incident, veuillez trouver ci-joint le lien vers le centre d’information et de support de notre partenaire Microsoft : Microsoft service health status

https://status.cloud.microsoft/

M. Tommy Koorevaar
Directeur Centre des Opérations de Sécurité

Devenir contributeur

Devenez un blogueur invité avec Gardien Virtuel!

Vous avez une idée pour notre prochain billet de blogue ou vous souhaitez suggérer un sujet d’actualité pour “Behind the Shield”? Dites-nous ce que vous voulez savoir!

rss feed icon

Actualités du gouvernement

Vous n’arrivez pas à cibler les nombreuses menaces qui pèsent sur votre entreprise?

Laissez notre SOC actif en tout temps, alimenté par le système de sécurité d’IBM QRadar, protéger votre organisation