CrowdStrike-incident 2024

BSOD op een beeldscherm op Dulles Airport in Washington

Het CrowdStrike-incident op vrijdag 19 juli 2024 waren de verstoringen die over de hele wereld werden ondervonden in meerdere industrieën bij verschillende computersystemen. Deze werden veroorzaakt door een foutieve patch op Microsoft Windows van de beveiligingssoftware van externe partij CrowdStrike.[1]

Oorzaak

CrowdStrike omvat een reeks beveiligingssoftwareproducten die aan bedrijven worden aangeboden en die zijn ontworpen om de computers van een bedrijf te beschermen tegen cyberaanvallen. Het Falcon Sensor-product installeert een netwerksensor op besturingssysteemniveau van individuele computers om dreigingen te detecteren en te voorkomen. Patches worden routinematig via CrowdStrike gedistribueerd naar haar klanten en hun computers, om cyberdreigingen preventief aan te pakken.

Een Falcon Sensor-update voor Microsoft Windows, uitgegeven om 04:09 (UTC) op 19 juli 2024, bevatte een defect kernelstuurprogramma, csagent.sys, waardoor de getroffen machines een blue screen of death-bericht met de stopcode PAGE_FAULT_IN_NONPAGED_AREA toonden.[2][3] Hierdoor bleven machines vastzitten in een opstartlus of herstelmodus.[4]

De getroffen machines werden hersteld door deze in veilige modus op te starten en de stuurprogrammabestanden te verwijderen: %windir%\System32\drivers\CrowdStrike\C-00000291*.sys.[5]

CrowdStrike heeft de patch om 05:27 (UTC) teruggedraaid. Apparaten die worden opgestart nadat de update is teruggedraaid, worden naar verwachting niet beïnvloed. Om 09:45 uur (UTC) bevestigde de CEO van CrowdStrike dat de oplossing was geïmplementeerd.

Impact

Over de hele wereld traden de storingen op. Doordat veel IT-systemen Windows- en CrowdStrike-software gebruiken, werden er in diverse bedrijfssectoren storingen gemeld. In de luchtvaartsector werden wereldwijd werden meer dan 4.200 vluchten geannuleerd.[6]

Volgens sommige schattingen heeft de Crowdstrike-bug problemen veroorzaakt voor ongeveer 24.000 klanten. Het aantal getroffen individuele computers is moeilijk te bepalen, omdat veel van de klanten grote organisaties zijn. In 2021 was naar schatting ongeveer 47% van de Fortune 500-bedrijven CrowdStrike-klanten. Op zijn eigen website beweert CrowdStrike dat het bijna 60% van de Fortune 500-bedrijven en meer dan de helft van de Fortune 1.000 onder zijn klanten heeft.

Nederland

Bedrijven en organisaties in Nederland waaronder Luchthaven Schiphol, KNAB bank, Transavia, Keolis Nederland, overheidsdiensten en ziekenhuizen, ervaarden problemen door de computerstoring en moesten hun activiteiten en zorgverlening staken of terugschroeven.[7][8]

België

In België bleven de gevolgen beperkt tot kleinere hinder, zoals vertraagde vluchten op Brussels Airport of problemen op de website en app van de Belgische Spoorwegen, maar toch ook problemen in twee ziekenhuizen.[9]

Bronnen, noten en/of referenties

Dit artikel of een eerdere versie ervan is een (gedeeltelijke) vertaling van het artikel Incidente de CrowdStrike op de Spaanstalige Wikipedia, dat onder de licentie Creative Commons Naamsvermelding/Gelijk delen valt. Zie de bewerkingsgeschiedenis aldaar.

  1. (en) "'Completely unprecedented' outage causes havoc with IT systems across globe — as it happened", 19 juli 2024. Geraadpleegd op 19 juli 2024.
  2. (en) CrowdStrike Falcon blue screen issue updates. www.eye.security. Geraadpleegd op 19 juli 2024.
  3. (en) Botched security update breaks Windows worldwide, causing BSOD and crashes. Neowin (19 juli 2024). Geraadpleegd op 19 juli 2024.
  4. (en) Baran, Guru, CrowdStrike Update Pushing Windows Machines Into a BSOD Loop. Cyber Security News (19 July 2024). Geraadpleegd op 19 July 2024.
  5. (en) Arjunan, Abhijith N., Windows CrowdStrike Update Causing Blue Screen of Death: 3 Ways to Fix. TechWorm (19 juli 2024). Geraadpleegd op 19 juli 2024.
  6. Schiphol verwacht dat morgen alles is opgelost • KLM: 'Nog veel vluchten vertraagd en geannuleerd'. NOS Nieuws (19 juli 2024). Geraadpleegd op 19 juli 2024.
  7. "Wereldwijd problemen door computerstoring, ook Schiphol getroffen", NOS, 19 July 2024. Geraadpleegd op 19 July 2024.
  8. Wereldwijde computerstoring – allGo, Keolis R-net en Syntus Utrecht bussen rijden niet. Keolis. Keolis. Geraadpleegd op 19 July 2024.
  9. "Computerstoring zonder voorgaande houdt wereldwijd vliegtuigen aan de grond", De Standaard, 19 juli 2024. Geraadpleegd op 20 juli 2024.