Crowdstrike güncellemesi ardından dünya genelinde bankalar, havayolları, havalimanları, süpermarketler ve farklı sektördeki çok sayıda firmanın kullandığı Windows işletim sisteminde kesintiler meydana geldi. Yayımlanan Crowdstrike güncellemesi sonrası 'blue screen of death' olarak bilinen mavi ekran hatasıyla karşılaşan kullanıcılar için yapılması gerekenler sıralandı.
Siber güvenlik teknolojisi şirketi olan CrowdStrike tarafından yayınlanan güncellemenin ardından Microsoft'un uygulama ve programlarında kesinti yaşadı ve bu durum birçok kullanıcının yanı sıra havacılık ve bankacılık sektörünü de olumsuz etkiledi.
CROWDSTRİKE GÜNCELLEMESİ NEDİR?
19 Temmuz 2024 tarihinde CrowdStrike tarafından Windows sunucularına gönderilen bir güncelleme, dünya çapında yaygın sistem kesintilerine neden oldu. Güncelleme, "mavi ekran hatası" olarak bilinen bir soruna yol açarak, bilgisayarların kullanım dışı kalmasına sebep oldu. Bu durum, havayolları, bankacılık, medya ve telekomünikasyon gibi birçok sektörde büyük aksaklıklara yol açtı.
Sorun, CrowdStrike'ın güncellemede bulunan bir hatadan kaynaklanıyordu. Güncelleme, güvenlik açıklarını gidermeyi amaçlıyordu, ancak beklenmedik bir şekilde sistem çökmelerine neden oldu.
Sorun, sadece Windows sunucularını etkiledi. Mac ve Linux sistemler bu sorundan etkilenmedi.
MAVİ EKRAN HATASINI ÇÖZMEK İÇİN YAPILMASI GEREKENLER
CrowdStrike, sorunun farkına vardıktan sonra güncellemesini geri çekti ve bir düzeltme yayınladı. Bu düzeltme, etkilenen sistemlere yüklenerek sorunun çözülmesi sağlandı.
1. Windows'u Güvenli Modda veya Windows Kurtarma Ortamında başlatın.
2. C:\Windows\System32\drivers\CrowdStrike dizinine gidin.
3. “C-00000291*.sys? ile eşleşen dosyayı bulun ve silin.
4. Bilgisayarı normal şekilde başlatın.
Uzmanlar, bu süreçte bilgisayarların geçici olarak savunmasız hale gelmesi nedeniyle olası ransomware saldırılarına karşı dikkatli olunması gerektiğine dikkat çekti
Önerilen güvenlik tedbirleri arasında;
"XDR üzerinden yazılan IOA ve IOC'ler için SIEM sisteminde algılama kuralları oluşturulması,
GPO üzerinden yerel admin kullanıcılarının kesinlikle devre dışı bırakılması veya şifrelerinin değiştirilmesi,
Çin, Rusya gibi ülkelerden gelen trafiklerin sürekli olarak izlenmesi,
Yedekleme sistemlerinin güncelliğinin ve güvenliğinin sürekli kontrol edilmesi gibi önlemler yer alıyor."
(SÖZCÜ)
