image

Nationaal Cyber Security Centrum monitort wereldwijde computerstoring

vrijdag 19 juli 2024, 11:12 door Redactie, 18 reacties

Het Nationaal Cyber Security Centrum (NCSC) monitort de wereldwijde computerstoring waar organisaties nu last van hebben. Het gaat dan om de problemen die zich voordoen met de CrowdStrike-beveiligingssoftware. Een update zorgt voor een blue screen of death en bootloop bij Windowscomputers. Organisaties kampen ook met problemen veroorzaakt door een Azure-storing bij Microsoft. CNBC stelt dat het niet meteen duidelijk is of de storing bij Microsoft direct te maken heeft met de CrowStrike-update.

"Het NCSC monitort de technische problemen die organisaties ondervinden door een storing in Crowdstrike. De problemen spelen wereldwijd en ook in Nederland worden diverse sectoren getroffen. De oorzaak wordt onderzocht en, in samenwerking met de NCTV, ISAC’s en betrokken departementen, kijken we naar de impact op Nederland. Zodra handelingsperspectief beschikbaar is, wordt dat hier gepubliceerd", aldus de overheidsinstantie.

De problemen bij Microsoft en CrowdStrike hebben wereldwijd gevolgen voor luchtvaartmaatschappijen, ziekenhuizen en banken. "Door een wereldwijde storing kan je op dit moment geen rekening openen en is de Knab App en je Persoonlijke Bankomgeving niet beschikbaar. We werken hard aan een oplossing", zo laat de bank Knab weten. Bij het UWV werkt de website Werk.nl niet. Ook lukt het de klantenservice niet om dossiers te openen van mensen met een uitkering, zo meldt De Telegraaf.

Reacties (18)
19-07-2024, 11:24 door Anoniem
Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.

Het zou veel vervelender zijn als er een kwetsbaarheid 'ergens in windows' zat die actief misbruikt zou worden door een state actor. Zonder dat je dit weet.
19-07-2024, 11:27 door Anoniem
Het is net Y2K maar dan echt
19-07-2024, 11:38 door Anoniem
Deze software is als een game gemaakt door Ubisoft of EA; afval.
19-07-2024, 11:40 door Anoniem
Door Anoniem: Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.

Het zou veel vervelender zijn als er een kwetsbaarheid 'ergens in windows' zat die actief misbruikt zou worden door een state actor. Zonder dat je dit weet.
Ik vraag me af waarom bijna de hele wereld op iets van Crowdstrike draait, er zijn toch zat andere endpoint protectors?
Hebben al die bedrijven hun due diligence dan niet gedaan of in ieder geval hun riskmanagent niet op orde?
Misschien nu wel iets om van te leren dat je je risico's moet spreiden. Helaas wordt dat wel lastig als MS een keer een patch verkloot en alle Windows PC's gaan in lockdown. Gelukkig draaien dan veel server parken op Linux waardoor essentiele diensten nog wel geleverd kunnen worden.
Maar dit is wel een heel groot ding wat mij betreft.
19-07-2024, 11:42 door Anoniem
Door Anoniem: Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.

Het zou veel vervelender zijn als er een kwetsbaarheid 'ergens in windows' zat die actief misbruikt zou worden door een state actor. Zonder dat je dit weet.
Lees NIS2 er maar eens op na. Dan begrijp je het misschien wat er achter de acties van NCSC zit. Wat de doelstellingen zijn en wat het bedrijven oplevert. Als je ook wat verder kijkt, zie je dat het niet alleen Crowdstrike is, maar ook Azure. In Azure lijken de basis functionaliteiten het al wel weer te doen.
19-07-2024, 11:48 door Anoniem
Komkommer tijd I guess, het probleem is duidelijk. Heeft niets met dreiging of een aanval te maken.
Gewoon laksheid van een bedrijf die blijkbaar geen goede OTAP strategie heeft... klinkt als een AVG'tje uit 2008 :)
https://www.tomshardware.com/news/avg-antivirus-virus-removal,6587.html
19-07-2024, 11:52 door Anoniem
Door Anoniem: Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.

Het zou veel vervelender zijn als er een kwetsbaarheid 'ergens in windows' zat die actief misbruikt zou worden door een state actor. Zonder dat je dit weet.

Beetje raar he.
Ja de fout is duidelijk. De gevolgen niet, en daar zou iemand zomaar gebruik van kunnen maken.

De NCSC monitoort dus met goede reden.
19-07-2024, 12:06 door Anoniem
Met zo'n club als Crowdstrike heb je geen buitenlandse hackers meer nodig om een land plat te gooien.
Of, anders, **wie** heeft de code-wijziging in hun code gestopt? En hoe is dat getest? En waarom niet gevonden?

Opvallend dat er meer problemen zijn met beveiliginsproducten dan met globale hackers.
<cynisch aan>Maar goed, Kasperksy is gewipt. Die waren echt niet te vertrouwen.<cynisch uit>
19-07-2024, 12:13 door Anoniem
Handelingsperspectief

Het NCSC adviseert om de meest recente update van Crowdstrike agent - voor zover dit niet al gedaan is - niet uit te voeren tot er een geverifieerde oplossing beschikbaar is. Indien de systemen ‘loop crashen’ (vastlopen) adviseert Crowdstrike de volgende stappen te nemen om een handmatige interventie uit te voeren:

1. Boot Windows naar de Safe Mode.
2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer.
3. Lokaliseer bestand “C-00000291-00000000-00000032.sys” bestand, klik op de rechter muisknop en hernoem het bestand naar “C-00000291-00000000-00000032.renamed” (de versie kan verschillen bij uw host).
4. Boot de host.

Het NCSC blijft de situatie monitoren. Updates worden op deze pagina geplaatst.

https://www.ncsc.nl/actueel/nieuws/2024/juli/19/wereldwijde-storing
19-07-2024, 12:17 door Anoniem
Door Anoniem: Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.
Als je zo redeneert is een DDOS-aanval ook geen security-probleem. Alleen gaat security behalve over vertrouwelijkheid en integriteit ook over beschikbaarheid, en daar gaat duidelijk iets mis mee.
19-07-2024, 12:24 door Anoniem
"Dit zou niet mis moeten gaan", zegt beveiligingsexpert Rickey Gevers. "De meest technische mensen werken bij Crowdstrike. Zij maken software die actief is op het niveau van het besturingssysteem. Als je daar één foutje maakt, raakt dat het hele systeem. Zij nemen enorme risico's door op zo'n diepe laag actief te zijn."

Er is, zo zeggen experts, inmiddels al een tijdelijke oplossing beschikbaar. Maar dat betekent niet dat alle problemen ook snel zijn opgelost. "Er zijn wel mogelijkheden om dit geautomatiseerd op te lossen", zegt beveiligingsonderzoeker Matthijs Koot, "maar die zijn arbeidsintensief en zwaar afhankelijk van hoe een organisatie het IT-beheer heeft ingericht."

https://nos.nl/artikel/2529477-wat-is-crowdstrike-en-hoe-kon-het-zo-misgaan-dit-is-wat-we-nu-weten
19-07-2024, 13:13 door Anoniem
Door Anoniem:
Door Anoniem: Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.
Als je zo redeneert is een DDOS-aanval ook geen security-probleem. Alleen gaat security behalve over vertrouwelijkheid en integriteit ook over beschikbaarheid, en daar gaat duidelijk iets mis mee.
Daar maak je een veel gemaakte foute aanname, security gaat niet over beschikbaarheid. Sterker nog, als iets niet beschikbaar is dan is dat security technisch reuze veilig. Beschikbaarheid is een business ding en behoort ook door de business geregeld te worden in samenspraak met IT beheer.
Ik bepaal de uptime van een applicatie niet en als deze door een technische storing down gaat is daar een SLA voor om met de leverancier in gesprek te gaan. Als Security voer ik deze gesprekken niet, dat is voor IT beheer. In feite is de term BIV ook niet correct want dat zou VIB moeten zijn, letterlijk vanuit het Engels CIA vertaald wat de juiste werkvorm is voor Security.
Ja maar, hoor ik je denken, als een systeem plat gaat door een hack dan is het voor Security. Ja, dat is correct maar dan hebben we het over een beveiligingsincidenent waarbij de vertrouwelijkheid of integriteit van het systeem is gecompromiteerd. Maar als een systeem, door fouten in software niet goed performt of zelfs daardoor onbeschikbaar wordt dat is dat geen taak voor Security om dat op te pakken. Dat hele Crowdstrike verhaal is een beschikbaarheidsprobleem door foute code en geen beveiligingsprobleem, omdat er geen breach is geweest. Dus is daar dus die SLA voor.
Security mensen zijn zo geobsedeerd door die BIV rating dat ze vaak niet goed snappen waar ze eigenlijk van zijn. Lees het eens andersom en dan valt hopelijk het muntje.
19-07-2024, 14:17 door Anoniem
Van alles en nog wat is er betrokken met die voor-geinstalleerde CrowdStrike's Falcon technologie.

Ok in Brave browsers zit het als beveiliging.
19-07-2024, 14:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.
Als je zo redeneert is een DDOS-aanval ook geen security-probleem. Alleen gaat security behalve over vertrouwelijkheid en integriteit ook over beschikbaarheid, en daar gaat duidelijk iets mis mee.
Daar maak je een veel gemaakte foute aanname, security gaat niet over beschikbaarheid. Sterker nog, als iets niet beschikbaar is dan is dat security technisch reuze veilig. Beschikbaarheid is een business ding en behoort ook door de business geregeld te worden in samenspraak met IT beheer.
Ik bepaal de uptime van een applicatie niet en als deze door een technische storing down gaat is daar een SLA voor om met de leverancier in gesprek te gaan. Als Security voer ik deze gesprekken niet, dat is voor IT beheer. In feite is de term BIV ook niet correct want dat zou VIB moeten zijn, letterlijk vanuit het Engels CIA vertaald wat de juiste werkvorm is voor Security.
Ja maar, hoor ik je denken, als een systeem plat gaat door een hack dan is het voor Security. Ja, dat is correct maar dan hebben we het over een beveiligingsincidenent waarbij de vertrouwelijkheid of integriteit van het systeem is gecompromiteerd. Maar als een systeem, door fouten in software niet goed performt of zelfs daardoor onbeschikbaar wordt dat is dat geen taak voor Security om dat op te pakken. Dat hele Crowdstrike verhaal is een beschikbaarheidsprobleem door foute code en geen beveiligingsprobleem, omdat er geen breach is geweest. Dus is daar dus die SLA voor.
Security mensen zijn zo geobsedeerd door die BIV rating dat ze vaak niet goed snappen waar ze eigenlijk van zijn. Lees het eens andersom en dan valt hopelijk het muntje.

Informatie beveiliging gaat over integriteit, vetrouwlijkheid EN beschikbaarheid. Dit komt terug in het Nederlands als BIV data classificatie om te bepalen waar systemen aan moeten voldoen. In het English: CIA-rating). Ga maar eens opzoeken en verdiep je maar eens in information security.
19-07-2024, 14:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het NCSC zou zich niet zo druk moeten maken. Het is super overzichtelijk. Er zit een fout in een bepaald driver bestand in de system32 directory die een BSOD veroorzaakt bij het opstarten van de computer.
Als je zo redeneert is een DDOS-aanval ook geen security-probleem. Alleen gaat security behalve over vertrouwelijkheid en integriteit ook over beschikbaarheid, en daar gaat duidelijk iets mis mee.
Daar maak je een veel gemaakte foute aanname, security gaat niet over beschikbaarheid. Sterker nog, als iets niet beschikbaar is dan is dat security technisch reuze veilig. Beschikbaarheid is een business ding en behoort ook door de business geregeld te worden in samenspraak met IT beheer.
Ik bepaal de uptime van een applicatie niet en als deze door een technische storing down gaat is daar een SLA voor om met de leverancier in gesprek te gaan. Als Security voer ik deze gesprekken niet, dat is voor IT beheer. In feite is de term BIV ook niet correct want dat zou VIB moeten zijn, letterlijk vanuit het Engels CIA vertaald wat de juiste werkvorm is voor Security.
Ja maar, hoor ik je denken, als een systeem plat gaat door een hack dan is het voor Security. Ja, dat is correct maar dan hebben we het over een beveiligingsincidenent waarbij de vertrouwelijkheid of integriteit van het systeem is gecompromiteerd. Maar als een systeem, door fouten in software niet goed performt of zelfs daardoor onbeschikbaar wordt dat is dat geen taak voor Security om dat op te pakken. Dat hele Crowdstrike verhaal is een beschikbaarheidsprobleem door foute code en geen beveiligingsprobleem, omdat er geen breach is geweest. Dus is daar dus die SLA voor.
Security mensen zijn zo geobsedeerd door die BIV rating dat ze vaak niet goed snappen waar ze eigenlijk van zijn. Lees het eens andersom en dan valt hopelijk het muntje.
Business Continuity Management / Disaster Recovery (BCM/DR) is een security dingetje, lees de ISO27001 er maar eens op na. OF beter nog, de Annex A (iso 27002) dan gaat bij jou het kwartje misschien vallen.
19-07-2024, 14:29 door Anoniem
Duitse overheid kondigt 'Code Oranje' af wegens 'bedrijfskritische' storingen
vrijdag 19 juli 2024, 13:58 door Redactie

https://www.security.nl/posting/850563/Duitse+overheid+kondigt+%27code+oranje%27+af

"De it-dreigingssituatie is bedrijfskritisch. Grootschalige verstoring van normale operaties", aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
19-07-2024, 17:26 door Anoniem
CDN-connections geven ook storingen, bijv. Edgecast.

Het heeft er nogal ingehakt, nogal wat werk voor de IT-admins van het weekend.

Werken die van huis uit?
19-07-2024, 22:14 door Anoniem
Door Anoniem: Handelingsperspectief

Het NCSC adviseert om de meest recente update van Crowdstrike agent - voor zover dit niet al gedaan is - niet uit te voeren tot er een geverifieerde oplossing beschikbaar is. Indien de systemen ‘loop crashen’ (vastlopen) adviseert Crowdstrike de volgende stappen te nemen om een handmatige interventie uit te voeren:

1. Boot Windows naar de Safe Mode.
2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer.
3. Lokaliseer bestand “C-00000291-00000000-00000032.sys” bestand, klik op de rechter muisknop en hernoem het bestand naar “C-00000291-00000000-00000032.renamed” (de versie kan verschillen bij uw host).
4. Boot de host.

Het NCSC blijft de situatie monitoren. Updates worden op deze pagina geplaatst.

https://www.ncsc.nl/actueel/nieuws/2024/juli/19/wereldwijde-storing

NCSC heeft dit bericht aangepast.

1. Boot Windows naar de Safe Mode
2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer
3. Lokaliseer bestand “C-00000291*.sys” bestand, klik op de rechter muisknop en verwijder het bestand of hernoem deze naar “C-00000291*.renamed”
4. Boot de host
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.