19 Temmuz 2024’te CrowdStrike Falcon yazılımının hatalı bir güncellemesi, dünya genelinde yaklaşık 8,5 milyon Windows bilgisayarını çalışmaz hale getirdi. Bu olay, tarihin en büyük bilgisayar arızası olarak kabul edilmekte ve milyarlarca dolarlık hasara yol açmış olabilir. Hatalı güncelleme nedeniyle havaalanları, bankalar ve tren seferleri durdu, şirketler çalışanlarını eve göndermek zorunda kaldı. Türkiye’daki kamu, şirketler ve bankalar da bu durumdan etkilendi. Bu olay, bir siber saldırı değil, ABD merkezli CrowdStrike firmasının bir EDR güvenlik çözümü güncellemesindeki hatadan kaynaklandı.
Hatalı güncelleme, Windows sistemlerinin mavi ekran (BSOD) hatası vererek çökmesine neden oldu. İlk analizler, boş bir dosyanın mavi ekran hatasına yol açtığını gösterdi.
Yeni CrowdStrike Sorunları ve Yan Etkiler
Zaman ilerledikte bu olayın yan etkileri ortaya çıkmaya başladı. Şirketlerin büyük bir kısmı tekrar çalışmaya başlasa da, CrowdStrike konsolunda yaklaşık %10’unun Cuma gününden beri rapor vermediği raporlanmaya başlandı. Konsolda, sürücünün durdurulduğunu bildiren bir hata görülüyordu, ancak hizmet çalışıyordu. Bu, Falcon sensörlerinin konsola geri bildirimde bulunmadığı anlamına geliyordu.
Düzgün Çalışıp Çalışmadığı Belli Değil!
Sorunun Kaynağı ve Çözüm Önerileri
- CSAgent.sys dosyasının CSAgent.sys.old olarak yeniden adlandırıldığı tespit edildi.
- Güncelleme, bu dosyayı orijinal adına geri döndürerek sorunu çözdü.
- Etkilenen sunucular, CrowdStrike konsolunda “son görülme” sorgusu kullanılarak kolayca filtrelenebildi.
Müşteri Tarafındaki Sorunlar
Müşteriler açısından durum daha karmaşık. Müşteriler, süreki çevrimiçi olmadıklarından düzenli raporlama yapmıyorlar.
Bu olay, büyük bir güvenlik yazılımı güncellemesinin nasıl ciddi aksaklıklara yol açabileceğinin bir örneği oldu. Diğer kullanıcıların da bu tür gözlemleri olup olmadığı merak konusu.