CrowdStrike Falcon ve Temmuz 2024 Hatasının Analizi
CrowdStrike Falcon, CrowdStrike tarafından sunulan bulut tabanlı bir siber güvenlik platformudur. Bu platform, organizasyonların siber tehditlere karşı korunmasını, güvenlik açıklarının tespit edilmesini ve olası saldırılara hızlı yanıt verilmesini sağlamak amacıyla geliştirilmiştir. Aşağıda, CrowdStrike Falcon’ın temel özellikleri ve işlevleri özetlenmiştir:
Temel Özellikler
- Gerçek Zamanlı Tehdit İstihbaratı:
Falcon, küresel siber tehditleri analiz ederek kullanıcılarına güncel bilgi sağlamaktadır. Bu, kuruluşların potansiyel tehditlere karşı daha etkili bir savunma stratejisi geliştirmelerine yardımcı olmaktadır. - Uç Nokta Koruması:
Uç nokta cihazları (bilgisayarlar, sunucular, mobil cihazlar vb.) kötü amaçlı yazılımlara, fidye yazılımlarına ve diğer siber tehditlere karşı korunmaktadır. Falcon, uç noktaları sürekli izleyerek anormallikleri tespit etmektedir. - Davranışsal Analiz:
Falcon, normal davranışları öğrenir ve anormal aktiviteleri tespit ederek bu durumları raporlamaktadır. Bu, saldırıların erken aşamalarda fark edilmesini sağlamaktadır. - Olay Müdahale ve Yanıt:
Platform, olaylar meydana geldiğinde hızlı müdahale ve yanıt süreçleri sunmaktadır. Kullanıcılar, yaşanan bir güvenlik ihlaline karşı anında aksiyon alabilmektedirler. - Bulut Tabanlı Altyapı:
CrowdStrike Falcon, bulut tabanlı bir sistem olarak çalıştığı için kurulum ve bakım süreçleri son derece basittir. Bu durum, kullanıcıların daha az kaynakla daha fazla koruma elde etmelerine olanak tanımaktadır. - Kapsamlı Raporlama ve Analiz:
Falcon, güvenlik durumunu izlemek ve analiz etmek için kapsamlı raporlama araçları sunmaktadır. Kullanıcılar, sistem performansını ve tehdit seviyelerini izleyebilmektedir.
Olayın Tanımı
9 Temmuz 2024’te, dünya genelindeki birçok bilgisayar sistemi, hatalı bir CrowdStrike güncellemesi nedeniyle kesintiye uğramıştır. Bu olay, Microsoft Windows işletim sistemine sahip cihazlarda “Kurtarma: Windows düzgün yüklenmemiş gibi görünüyor.” mesajıyla belirtilen mavi ekran hatalarına yol açmıştır. CrowdStrike, sorunun kendi yazılımlarından kaynaklandığını duyurmuştur. Hatanın temel nedeni, Falcon Sensor güvenlik yazılımına ilişkin yapılan bir sürücü güncellemesidir.
CrowdStrike, web sitesinde yayınladığı açıklamada çökmelerin “Falcon sensörü” ile ilgili olduğunu belirtmiştir. Falcon sensörü, güvenlik verilerini toplamak amacıyla iş bilgisayarlarına kurulan bir yazılımdır. Şirket, kısa süre içerisinde yayınladığı ön raporda, kesintinin Falcon sensöründeki hatalı güncellemeden kaynaklandığını ifade etmiştir.
Hatanın Teknik Sebepleri
- Sayı Uyuşmazlığı:
Güncelleme sırasında, Falcon sisteminin kontrol ettiği sensörlerin sayısının değişmesi beklenirken, sistemin 20 girdi alanına sahip olması gerektiği düşünülmüştür. Ancak yapılan güncellemede 21 girdi alanı oluşmuş, bu durum “sayı uyuşmazlığı”na yol açarak sistemlerin belleğini doldurmuş ve Microsoft mavi ekran arızasına neden olmuştur. - Ekstra Veri Krizi:
İlgili raporda, “İçerik yorumlayıcısı yalnızca 20 değer bekliyordu” ifadesi yer almaktadır. Bu durum, sistemin beklenmedik bir veriyle karşılaşarak hataya düşmesine yol açmıştır.
CrowdStrike, sosyal medya platformu X’te yaptığı açıklamada, “Tüm samimiyetimizle özür diliyoruz ve bu olaydan çıkardığımız dersleri daha dirençli olmak ve müşterilerimize daha iyi hizmet vermek için kullanacağız,” ifadesini kullanmıştır.
Sistem Erişim Zorlukları
Bu özel sistemlerin normal ev kullanıcılarından farklı olduğu için, cihazlara müdahale etmek oldukça zorlaşmıştır. Krizin büyümesindeki önemli bir etken, sistemin dışarıdan müdahaleye izin vermemesi olmuştur. Birçok sistem BitLocker ile şifrelenmiş olduğundan, güvenlik tedbirleri sistem çöktüğünde değişikliklere izin vermemiştir.
Aslında güncelleme dosyası yalnızca 40 KB boyutundaydı. Ancak yazılım güncellemesi sırasında meydana gelen hata, sistemin yeniden başlatılmasını zorunlu kılmış ve bu aşamada mavi ekran hatası ortaya çıkmıştır. Hata, sadece 20 olan bir değerin 21’e çıkmasıyla oluşmuş; olmayan bir veriye ulaşmaya çalışan sistem, bu durumda hataya düşmüştür.
CrowdStrike, hatayı tespit edip yeni bir güncelleme hazırlamak için toplamda 70 dakika harcamıştır. Ancak işletim sistemi otomatik olarak yeniden başlatıldığında oluşan mavi ekran hatası, hatanın uzaktan müdahale ile düzeltilmesini engellemiştir.
Çözüm Süreci
Hatanın çözümü, basit olmasına rağmen BitLocker şifreli sistemlere erişim sıkıntıları nedeniyle zaman almış ve bu durum, sistemin bir krize dönüşmesine yol açmıştır. Hatanın giderilmesi için izlenecek adımlar şunlardır:
- Windows’u Güvenli Modda veya Windows Kurtarma Ortamı’nda başlatın.
- C:\Windows\System32\drivers\CrowdStrike dizinine gidin.
- “C-00000291*.sys” ile başlayan dosyayı bulun ve adını değiştirin.
- Bilgisayarı normal şekilde yeniden başlatın.
Bu olay, siber güvenlik sistemlerinin güncellenmesi sırasında dikkat edilmesi gereken önemli hususları bir kez daha gözler önüne sermektedir.