Les administrateurs ont tiré une leçon précieuse de la débâcle de CrowdStrike : il est crucial de comprendre ce que signifient réellement les mises à jour retardées dans le domaine de la lutte contre les logiciels malveillants.
Un des facteurs ayant contribué aux problèmes engendrés par la mise à jour de CrowdStrike est que les administrateurs pensaient que la mise à jour défectueuse aurait été retirée et corrigée bien avant de causer des désagréments à leurs systèmes. Beaucoup d’entre eux utilisaient avec optimisme des versions N-2 ou N-1, c’est-à-dire qu’ils fonctionnaient avec une version deux ou une version en retard par rapport à la dernière.
Le vendredi 19 juillet, un expert en sécurité, submergé par les appels d’inquiétude de clients, a déclaré : « Tous les clients gérés par CrowdStrike sont en N-2. C’est même recommandé dans leurs documents de support. »
Cependant, des systèmes Windows à travers le monde ont commencé à rencontrer des boucles de démarrage de l’écran bleu de la mort suite à une mise à jour de CrowdStrike.
Le principal problème pour de nombreux utilisateurs était de comprendre que la politique de version ne s’appliquait qu’à une partie du système CrowdStrike. Un utilisateur a posté : « Nous avons appris que la politique N-1 ne s’applique qu’aux mises à jour des agents, et non aux fichiers de signature. »
« Autant que nous puissions le constater, il n’existe pas de moyen efficace de retarder la diffusion des fichiers de signature, d’où le fait que tout le monde a reçu le fichier de signature du 18/07 à 23h09 (heure centrale) qui a causé des ravages dans l’heure qui a suivi. »
D’autres se sont plaints : « CrowdStrike a contourné les paramètres des clients sur les déploiements N-1/N-2 (c’est-à-dire des versions 1 ou 2 en retard par rapport à la version actuelle) pour cette mise à jour. »
Un autre utilisateur, ayant noté qu’il avait configuré CrowdStrike pour être une version en retard sur les infrastructures non critiques et deux versions en retard sur les infrastructures critiques, a tristement déclaré : « Nous avons été touchés de toute façon car il s’agissait d’un ‘fichier de contenu’ et donc nos restrictions de mise à jour automatique ont été ignorées. »
Bien que des expressions telles que « trahison de la confiance » aient été utilisées, il semble que tous les administrateurs n’aient pas compris que le rythme des mises à jour s’appliquait au logiciel et non au canal utilisé pour les signatures. Il existe, après tout, de bonnes raisons pour qu’un client souhaite disposer des fichiers de signature les plus récents, compte tenu de la rapidité avec laquelle les logiciels malveillants évoluent.
- L’UE a remis à CrowdStrike les clés du noyau Windows, selon Microsoft
- Le Falcon Sensor de CrowdStrike est également lié à des pannes et des plantages du noyau Linux
- Les cybercriminels exploitent rapidement le chaos causé par CrowdStrike
- La vie perturbée : comment l’échec de la mise à jour de CrowdStrike affecte le monde
Sharon Martin, PDG de Managed Nerds, était en train de mettre en place une évaluation de CrowdStrike pour déterminer si c’était une solution à proposer à ses clients lorsque la vague de l’écran bleu de la mort a commencé. Alors qu’il devenait évident que des systèmes critiques étaient en danger à cause du fichier de signature erroné, Martin a déclaré : « Si CrowdStrike était la seule solution EDR restante dans le monde, je choisirais le ransomware plutôt qu’elle. »
« C’est un outil dans la pile de sécurité qui a complètement paralysé les systèmes affectés sans aucun avertissement. Il n’y avait aucune indication au départ sur la manière ou le moment où une récupération pourrait être obtenue. Les informations circulaient si lentement que certains ne savaient pas s’ils devaient attendre un correctif ou simplement réinstaller la machine. »
« La plupart des informations qui ont circulé étaient soit destinées à leurs plus grands partenaires, soit derrière leur portail de documentation protégé par mot de passe, qui n’est pas accessible au public. C’est pourquoi certaines organisations ne savaient pas si elles devaient renvoyer leurs employés chez eux ce vendredi-là. »
Jamil Ahmed, ingénieur distingué chez Solace, a souligné le dilemme auquel sont confrontés les administrateurs. « Être en N-2 pour un logiciel signifie que vous adoptez une approche prudente pour ne pas utiliser la version la plus récente. »
« Cependant… il est dans votre intérêt d’obtenir les dernières définitions des nouvelles menaces et virus dès que possible sans délai. C’est le cœur du problème ici. C’est le traitement de cette nouvelle définition qui contenait le bug et a causé le BSOD. »
Prévoir les catastrophes et organiser les mises à jour est essentiel. Utiliser des cercles de déploiement pour appliquer les mises à jour à quelques appareils en premier est une pratique courante. Des analystes, y compris Mary Jo Foley de Directions on Microsoft, ont souligné cette pratique comme une leçon à tirer de l’effondrement de CrowdStrike.
Cependant, le déploiement progressif ne suffira pas lorsque des canaux distincts poussent les mises à jour de signature à un rythme différent.
Demandez simplement à l’un des administrateurs qui ont dû faire face aux conséquences.
