L’épreuve – Bug CrowdStrike Falcon

Il est important de rappeler que les incidents peuvent toucher même les meilleures solutions de cybersécurité. Des entreprises de renom telles que Sophos, Kaspersky, Symantec, et McAfee, ainsi que des géants comme Microsoft, ont déjà été confrontées à des situations similaires.

Actuellement, de nombreux attaquants exploitent la situation pour lancer des campagnes de phishing ou déployer des malwares.
Pour vous tenir informé des dernières menaces, suivez les mises à jour de la CTI de CrowdStrike sur leur site officiel : CrowdStrike Threat Intelligence.

Note sur la Cybersécurité : Réflexions sur les Mises à Jour Défectueuses

Le bug majeur de la mise à jour de Microsoft CrowdStrike Falcon, survenu le 26 juin 2024, a entraîné des perturbations notables. Voici un bilan des impacts et des informations clés :

Bilan des Impacts

Vulnérabilités de Désinstallation: Une autre faille identifiée permettait à des attaquants avec des privilèges administratifs de désinstaller le Falcon Sensor sans vérification appropriée, bien que cela nécessite des accès élevés et des compétences techniques spécifiques Security Firm Discloses CrowdStrike Issue After ‘Ridiculous Disclosure Process’ – SecurityWeek.

CPU Usage Extrême: Le bug a entraîné une utilisation à 100% d’un cœur CPU sur les machines affectées, provoquant des ralentissements significatifs et nécessitant des redémarrages pour restaurer les performances normales Security Firm Discloses CrowdStrike Issue After ‘Ridiculous Disclosure Process’ – SecurityWeek et CrowdStrike bug maxes out 100% of CPU, requires Windows reboots.

Perturbations dans des Environnements Critiques: Certains hôpitaux ont rapporté des problèmes graves, avec des machines utilisées pour des opérations chirurgicales nécessitant des redémarrages, créant un risque pour les patients CrowdStrike bug maxes out 100% of CPU, requires Windows reboots.

Global Outage: L’impact a été mondial, affectant divers secteurs et entraînant des interruptions de service, y compris des retards de vols dans certains aéroports Security Firm Discloses CrowdStrike Issue After ‘Ridiculous Disclosure Process’ – SecurityWeek.

Pour plus de détails, consultez les sources suivantes :
– [The Stack](https://www.thestack.technology)
– [SecurityWeek](https://www.securityweek.com)

Note sur la Cybersécurité : Réflexions sur les Mises à Jour Défectueuses

Introduction

Il est surprenant de constater que malgré les avancées technologiques, certains acteurs semblent encore ignorer les bases de la gestion des mises à jour de sécurité. Une simple précaution comme le test en environnement isolé pourrait éviter bien des désagréments. Et pour ceux qui se demandent pourquoi un simple reboot en mode sans échec ne pourrait pas résoudre tous les problèmes… eh bien, la réalité est souvent plus complexe que cela !

Note de Service fictive dans une compagnie de transport aérien : Bilan du « Grand Fiasco de la Mise à Jour »

Chers collègues cyber-guerriers et autres victimes collatérales,

Suite à notre récente « aventure » avec la mise à jour de CrowdStrike Falcon sur nos systèmes Windows, je me sens obligé de partager quelques réflexions. Attachez vos ceintures, ça va secouer !

Security Firm Discloses CrowdStrike Issue After ‘Ridiculous Disclosure Process’ – SecurityWeek(

Le Bon, la Brute et le Truand

Le Bon : Nous avons découvert que nos systèmes peuvent effectivement être mis hors service en un temps record. Bravo à nous !

La Brute : Notre capacité à créer le chaos sans l’aide d’acteurs malveillants est vraiment impressionnante. Qui a besoin de hackers quand on s’a nous ?

Le Truand : La naïveté avec laquelle nous avons déployé cette mise à jour sans test préalable. On dirait presque que nous avions hâte de voir le monde brûler.

Leçons apprises (ou pas)

1. Les mises à jour, c’est comme les champignons : certaines sont bonnes, d’autres vous envoient à l’hôpital. Testez avant de consommer !
2. Le mode sans échec n’est pas une solution miracle : contrairement à la croyance populaire, appuyer frénétiquement sur F8 ne résout pas tous les problèmes de cybersécurité.
3. La sauvegarde, cette grande incomprise : apparemment, sauvegarder ses données avant une catastrophe est plus efficace qu’après. Qui l’eût cru ?
4. La communication est clé : Notamment pour expliquer pourquoi toute l’entreprise est à l’arrêt. « Oups » n’est généralement pas considéré comme une explication satisfaisante.

Plan d’action pour la prochaine fois (parce qu’il y aura une prochaine fois, n’est-ce pas ?)

1. Mettre en place un environnement de test. Non, votre ordinateur personnel ne compte pas.
2. Élaborer un plan de rollback. Et non, croiser les doigts n’est pas un plan.
3. Former le personnel. Apparemment, « avoir vu Mr. Robot » ne qualifie pas comme formation en cybersécurité.
4. Préparer des excuses créatives pour la direction. « Le chien a mangé nos serveurs » a déjà été utilisé.

Mot de la fin

Rappelez-vous, chers tous : dans le monde de la cybersécurité, nous ne faisons pas d’erreurs. Nous créons juste des opportunités d’apprentissage spectaculaires.

Pour ceux qui critiquent, souvenez-vous que cela est déjà arrivé à d’autres EDR (Sophos, Kaspersky, Symantec, McAfee…),à Microsoft et à d’autres solutions. Attention, de nombreux attaquants profitent de la situation pour du phishing ou déployer des malwares. Suivez la CTI de CrowdStrike sur leur site officiel : https://lnkd.in/eUQ5efDw

Bien à vous …

P.S. : Si quelqu’un trouve le bouton « annuler la catastrophe », merci de me prévenir immédiatement.

Citations:

[1] Cybersecurity Best Practices – CISA
[2] YouTube Video
[3] Cyber Security Memes – Caniphish
[4] Cyber Security Tips & Best Practices – TitanFile
[5] World Economic Forum on Cybersecurity 2024
[6] The Risks of Delayed Patching – TuxCare
[7] Understanding Patches and Software Updates – CISA

[8] OT Cybersecurity: 7 Essential Practices – Valmet
[9] How to Test a New Software Update – PC Docs
[10] NSA’s Top 10 Cybersecurity Mitigation Strategies (PDF)
[11] Patch Management Best Practices Guide – ManageEngine
[12] How to Develop a Cyber Security Strategy – Check Point
[13] Reduce Cybersecurity Risk – UpGuard
[14] Funny Hacking Stories – Excellence IT
[15] Top Cybersecurity Trends for 2024 – Gartner
[16] Cyber Threats & Patch Management – Rimo3
[17] What is Patch Management? – OneNeck
[18] How to Test Software Updates – LinkedIn
[19] Patch Management Best Practices – TechRepublic
[20] Develop a Strong Cybersecurity Strategy – StickmanCyber

Menaces

1. Principales menaces associées à une mise à jour de sécurité défectueuse :

• Introduction de nouvelles vulnérabilités : Une mise à jour défectueuse peut ouvrir des brèches exploitables par des attaquants, exposant ainsi le système à des cyberattaques.
• Interruption de service : Les incompatibilités logicielles peuvent provoquer des pannes, des redémarrages intempestifs ou des erreurs critiques (BSOD), perturbant les opérations normales.
• Perte de données sensibles : Les erreurs de mise à jour peuvent corrompre les données ou les rendre inaccessibles, entraînant potentiellement des pertes de données critiques.

2. Types de vulnérabilités introduites par une mise à jour défectueuse :

• Failles dans les protocoles de communication : Les mises à jour peuvent involontairement créer des failles dans les protocoles de sécurité, facilitant les attaques de type man-in-the-middle.
• Erreurs de configuration système : Des configurations incorrectes peuvent affaiblir la sécurité du système, rendant les défenses existantes inefficaces.
• Backdoors non intentionnelles : Une mise à jour mal conçue peut introduire des portes dérobées, permettant un accès non autorisé au système.

Précautions

1. Précautions avant de déployer une mise à jour de sécurité :

• Sauvegarde des systèmes et données critiques : Toujours effectuer des sauvegardes complètes avant toute mise à jour pour prévenir la perte de données en cas de problème.
• Vérification des notes de publication : Examiner attentivement les notes de mise à jour et les avis de sécurité pour comprendre les modifications et les risques potentiels.
• Tests en environnement isolé : Tester la mise à jour dans un environnement de test qui reproduit fidèlement l’environnement de production pour identifier les problèmes avant le déploiement général.

2. Comment tester une mise à jour de sécurité :

• Utilisation d’un environnement de test : Mettre en place un environnement de test qui imite l’environnement de production pour détecter les conflits potentiels.
• Tests de régression : Effectuer des tests de régression pour s’assurer que la mise à jour n’affecte pas les fonctionnalités existantes.
• Analyse des journaux de test : Examiner les journaux de test pour détecter toute anomalie ou comportement inattendu.

Bonnes Pratiques

1. Bonnes pratiques pour gérer les mises à jour de sécurité :

• Gestion des correctifs automatisée : Utiliser des solutions de gestion des correctifs pour automatiser et contrôler le déploiement des mises à jour, réduisant ainsi les risques d’erreur humaine.
• Formation continue : Former régulièrement le personnel sur les nouvelles menaces et les techniques de mitigation pour maintenir un haut niveau de vigilance.
• Politiques de mise à jour rigoureuses : Établir des politiques strictes pour le déploiement des mises à jour, incluant des procédures de test et de validation.

2. Minimiser l’impact d’une mise à jour défectueuse :

• Plan de rollback : Disposer d’un plan de rollback bien défini pour revenir rapidement à une version stable en cas de problème.
• Surveillance post-mise à jour : Surveiller les systèmes après une mise à jour pour détecter rapidement toute anomalie et intervenir immédiatement.
• Communication claire : Maintenir une communication transparente avec les utilisateurs finaux pour les informer des correctifs en cours et des mesures prises.

En guise de fin des Liens

Restez vigilants, testez avant de déployer, et n’oubliez pas : la cybersécurité est l’affaire de tous.

---

Pour plus d’informations sur les bonnes pratiques de gestion des mises à jour, consultez les ressources suivantes :

• Forbes sur les mises à jour de sécurité Windows
• Microsoft Community sur les risques des mises à jour
• TechTarget sur les meilleures pratiques de test de patch

• 1. Ce correctif de sécurité Windows ne contient pas de correctifs de sécurité, selon Microsoft
• 2. Risques de ne pas faire les mises à jour Windows
• 3. Tester un correctif de sécurité
• 4. Mises à jour de sécurité importantes de Windows et logiciels antivirus
• 5. Quelles sont les causes de l’échec des mises à jour Windows ?
• 6. Valider les mises à jour de sécurité mensuelles
• 7. Advisory de sécurité Microsoft : Vulnérabilité dans le noyau Windows
• 8. Pourquoi installer les mises à jour Windows ?
• 9. Gestion des correctifs Windows
• 10. Alerte cyber : NHS Digital
• 11. Centre de messages Windows
• 12. Meilleures pratiques de gestion des correctifs
• 13. Vulnérabilités critiques exploitées activement : Mise à jour de Microsoft Patch Tuesday de mai 2024
• 14. Problèmes de mises à jour Windows et comment les résoudre
• 15. Meilleures pratiques pour la gestion des correctifs
• 16. Notes de publication des mises à jour Microsoft juillet 2024