Sélection de la langue

Alerte - Problèmes touchant l’EDR de CrowdStrike Falcon

Numéro : AL24-010
Date : 19 juillet 2024

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 19 juillet 2024, le Centre pour la cybersécurité a été informé d’un problème touchant des systèmes à travers le monde, qui résulte d’une mise à jour logicielle défectueuse de l’outil de détection et intervention au point d’extrémité (EDR pour Endpoint Detection and Response) de CrowdStrike Falcon. La mise à jour défectueuse désignée comme un « fichier de canal » donne lieu au plantage des systèmes basés sur Windows utilisant cet outil et fait en sorte de ne pas les restaurer automatiquement. CrowdStrike a précisé que cette erreur touchait uniquement les systèmes Windows, les hôtes Mac et Linux n’étant pas touchés.

L’incidence de ce problème a été observée au Canada et à l’échelle mondiale. On encourage les organisations qui emploient la solution d’ EDR de CrowdStrike Falcon à passer en revue les mesures suggérées ci-dessous pour restaurer les systèmes touchés et à obtenir des directives plus précises en consultant le portail de soutien de CrowdStrike pour les plus récentes mises à jourNote de bas de page 1Note de bas de page 2.

Le Centre pour la cybersécurité a reçu des rapports selon lesquels des auteurs de menaces utilisent cet incident à des fins d’hameçonnage et d’autres activités malveillantes connexes. Le Centre pour la cybersécurité recommande aux organisations de renforcer les employés pour qu’ils ne fassent confiance qu’aux sources recommandées et qu’ils ne cliquent pas sur des liens sur des courriels non fiables ou douteux.

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes pour supprimer tous les fichiers de canaux touchés sur les systèmes qui plantent durant le démarrage :

  1. Démarrer Windows en mode sans échec ou Windows Recovery Environment (WinRE)
  2. Accéder au dossier C:\Windows\System32\drivers\CrowdStrike
  3. Trouver et supprimer le ou les fichiers correspondant à « C-00000291*.sys »
  4. Démarrer normalement
    Veuillez prendre note que les organisations qui ont recours à BitLocker pourraient devoir utiliser une clé de récupération Note de bas de page 3.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Date de modification :