Les victimes de la mise à jour défectueuse de CrowdStrike Falcon Sensor peuvent consulter une page centrale où CrowdStrike rassemble toutes les informations nécessaires à la récupération du système. Malgré toutes ces informations, il reste encore beaucoup de travail manuel à effectuer.
CrowdStrike rassemble toutes les informations concernant la restauration des systèmes affectés dans le Remediation And Guidance Hub : un portail où les victimes de la mise à jour ravageuse de Falcon Sensor peuvent trouver tous les conseils et procédures nécessaires.
Sur le portail, CrowdStrike publie tout d’abord les mots d’excuses de son PDG. De plus, les détails techniques du bogue sont fournis. Malheureusement, il n’existe pas de correctif automatique pour les systèmes en « bootloop » (démarrage en boucle).
CrowdStrike a coopéré avec Microsoft pour la création d’une clé USB de récupération. Pour savoir comment en créer une, consultez le portail. En démarrant depuis cette clé sur un hôte affecté, on supprime automatiquement les fichiers à l’origine du bogue.
Bitlocker
Petit bémol : avant que la clé ne fonctionne, les administrateurs doivent déverrouiller activement les systèmes concernés avec Bitlocker en saisissant la longue clé unique de Bitlocker. Ainsi, même avec la clé, il faut encore beaucoup d’efforts manuels pour récupérer le système. Sur le portail, CrowdStrike propose des liens vers l’endroit exact où se trouvent ces clés Bitlocker.
Le bogue a également touché les machines virtuelles, qui doivent elles aussi être restaurées. Le plus simple est de restaurer les machines virtuelles à partir d’un instantané datant d’avant le déploiement par CrowdStrike de la mise à jour insuffisamment testée, mais on peut aussi restaurer les machines virtuelles manuellement.
Les systèmes avec Intel vPro et Intel Active Management Technology sont restaurables à distance. Cela peut considérablement simplifier le processus, bien que les administrateurs doivent à nouveau saisir la clé BitLocker pour chaque système affecté et crypté.
CrowdStrike essaie de communiquer de manière transparente sur le problème, en soulignant que la panne n’est pas une cyberattaque. Par ailleurs, les systèmes de CrowdStrike fonctionnent correctement, donc les clients restent protégés contre les attaquants.
Mise à jour non testée
Vendredi dernier, CrowdStrike a déployé automatiquement une mise à jour non testée ou insuffisamment testée sur tous les systèmes utilisant Falcon Sensor. Elle a été installée en arrière-plan et a endommagé les ordinateurs et les serveurs Windows. Les appareils concernés sont tombés dans une boucle de démarrage suivie d’un écran bleu de la mort.
CrowdStrike a arrêté le déploiement (non graduel) de la mise à jour destructrice, mais bien trop tard. Environ 8,5 millions de systèmes à travers le monde ont été touchés, affectant énormément le secteur de l’aviation internationale, entre autres.