Incident CrowdStrike et Microsoft

Chers clients,

Une panne d’envergure mondiale affecte actuellement les ordinateurs et machines virtuelles équipés de la suite de sécurité Crowdstrike Falcon.

L’incident serait lié à une mise à jour défectueuse du logiciel Crowdstrike.

Les symptômes sont notamment des « écrans bleus » liés au Sensor CS Falcon et des redémarrages.

Depuis cette nuit, notre Security Operation Center (SOC) a activé sa cellule de crise, en lien avec nos partenaires Microsoft et Crowdstrike.

Pour nos clients Crowdstrike, une surveillance accrue de votre équipe Gardien Virtuel de la situation est mise en place afin de détecter tout évènement ou comportement suspicieux. En effet, la solution Crowdstrike Flacon étant désactivée, cela représente des opportunités pour des pirates informatiques susceptibles de lancer des attaques au fur et à mesure des prochaines reconnexions, mises à jour, voire suppressions temporaires de la solution.

Nos équipes contactent l’ensemble de nos clients depuis 03 :00am EST afin de vérifier avec chacun d’entre eux l’impact éventuel de la panne et offrir une assistance dans la résolution de l’incident.

Notamment, Crowdstrike nous a fourni la liste des équipements impactés par la panne chez nos clients, car tous nos clients ne sont pas concernés par cet évènement. Crowdstrike a, en effet, arrêté cette mise à jour suite à la constatation de l’échec.

Procédure préconisée pour la résolution du problème :

Nous vous proposons, ci-dessous, deux procédures en fonction de votre situation.

Si vous avez la solution Bitlocker :

1. Redémarrer le PC touché jusqu’à atteindre l’écran de récupération de Windows
   
2. Sélectionner Dépannage > Options Avancées >Options de démarrage
   
3. Appuyer sur redémarrer
   
4. Passer l’invite vous demander la clé de récupération BitLocker en appuyant sur Echap
   
5. Passer la seconde invitation à entrer votre clé BitLocker en sélectionnant Ignorer ce disque dans le coin
   inférieur droit
   
6. Sélectionner Dépannage > Options Avancées > Invite de commandes
   
7. Tapez : “bcdedit /set {default} safeboot minimal” et appuyer sur Entrée
   
8. Taper Exit pour fermer la fenêtre et appuyer sur Continuer dans l’interface de récupération
   
9. Le PC va redémarrer en mode sans échec
   
10. Connectez-vous comme d’habitude avec vos identifiants
    
11. Ouvrez l’explorateur de fichier pour arriver à C:\Windows\System32\drivers\Crowdstrike
    
12. Supprimer le fichier commençant par C-00000291 avec l’extension .sys
    
13. Ouvrez une invite de commande en administrateur
    
14. Tapez “bcdedit /deletevalue {default} safeboot” et appuyez sur entrée
    
15. Redémarrez et votre PC est de nouveau fonctionnel

À défaut, ci-jointe la procédure communiquée par Crowdstrike :

Crowdstrike et Microsoft incident pdf

Enjeux avec la console d’administration Microsoft.

En parallèle de cet événement majeur, Microsoft nous signale une importante dégradation de service liée à la console d’administration Azure 365.

Ces deux évènements sont distincts mais nécessitent chacun une attention particulière.

Afin de suivre l’évolution de cet autre incident, veuillez trouver ci-joint le lien vers le centre d’information et de support de notre partenaire Microsoft : Microsoft service health status

https://status.cloud.microsoft/

M. Tommy Koorevaar
Directeur Centre des Opérations de Sécurité