Wereldwijde Windows crashes door fout in Crowdstrike-software 💻🔧
Windows-computers wereldwijd ervaren crashes door een fout in de software van cybersecuritybedrijf Crowdstrike. De software, bedoeld om computers veilig te houden, veroorzaakt door een recente update constante herstarts.
De storing treft Windows-werkstations en -servers, waarbij gebruikers massale uitval melden die hele bedrijven en vloten van honderdduizenden computers offline haalde.
20.07.2024
Gevolgen van CrowdStrike storingen wereldwijd:
Land | Impact |
---|---|
Australië | Media, luchtvaartmaatschappijen, supermarkten, banken en ziekenhuizen getroffen |
België | Treinkaartverkoop, digitale aankondigingen, media, banken, luchthavens en overheidsdiensten verstoord |
Canada | TD Canada Trust app en Vancouver International Airport getroffen |
China | Op veel plekken de bekende blue screens, sommige bedrijven mochten eerder sluiten |
Kroatië | Gezondheidsinformatiesystemen en problemen met luchtverkeersleiding |
Tsjechië | Praagse luchthaven getroffen |
Frankrijk | TV-kanalen en systemen voor de Olympische Spelen in Parijs verstoord |
Duitsland | Vluchten op Berlin Airport gestopt, Lufthansa getroffen, ziekenhuisoperaties geannuleerd |
Hongarije | Problemen op de luchthaven van Boedapest |
Hongkong | Vertragingen bij het inchecken op de luchthaven, luchtvaartboekingssystemen uitgevallen |
India | Grote luchtvaartmaatschappijen en IT-bedrijven getroffen |
Israël | Nooddiensten, ziekenhuizen en banken getroffen |
Japan | Problemen bij luchtvaartmaatschappij Spring Japan |
Maleisië | Problemen met het ticketingsysteem van KTMB-spoorwegen |
Nederland | Schiphol luchthaven, banken en medische diensten verstoord |
Nieuw-Zeeland | Banken, supermarkten, Auckland Transport en Christchurch Airport getroffen |
Filipijnen | Grote banken, telecommunicatie, luchtvaartmaatschappijen en overheidswebsite uitgevallen |
Zuid-Afrika | Problemen met bankieren |
Zuid-Korea | Problemen bij luchtvaartmaatschappij Jeju Air |
Singapore | Vertragingen op Changi Airport, verschillende diensten verstoord |
Spanje | IT-storing in nationale luchtverkeersleiding |
Zwitserland | Landingen op luchthaven Zürich gestopt |
Verenigd Koninkrijk | Nieuws kanalen, luchthavens, spoorwegmaatschappijen, NHS en verschillende diensten verstoord |
Verenigde Staten | Grondstops bij luchtvaartmaatschappijen, 911-diensten verstoord, aandelen van Microsoft en CrowdStrike gedaald |
Wat is bekend?
- De problemen veroorzaakt door de update van de CrowdStrike-agent doen zich alleen voor op Windows-systemen. Linux- en Mac-systemen zijn niet getroffen.
- Windows-systemen die vanochtend (19-07-2024) later dan 05:27 UTC online zijn gekomen, zijn niet getroffen.
- De workaround die CrowdStrike heeft aangeboden werkt. In sommige gevallen is een variant van de workaround nodig.
Oplossing: De versie die problemen veroorzaakt is: Channel file ‘C-00000291*.sys’ met timestamp ‘0409 UTC’. Versies van dit bestand met een timestamp van ‘0527 UTC’ of later zijn goede versies.
Stappen:
- Systeem herstarten: Probeer bij systemen die de update wel hebben uitgevoerd allereerst het systeem te herstarten om daarmee automatisch een nieuwe versie van de channel file te downloaden.
- Handmatige interventie:
- Boot Windows naar de Safe Mode.
- Navigeer naar
C:\Windows\System32\drivers\CrowdStrike
directory in Explorer. - Lokaliseer bestand
C-00000291*.sys
, klik op de rechtermuisknop en verwijder het bestand of hernoem deze naarC-00000291*.renamed
. - Boot de host opnieuw.
Workaround:
- BIOS Storage op ‘RAID’:
- Voor fysieke laptop/desktop systemen waarop BIOS storage op ‘RAID’ ingesteld staat, moet eerst deze instelling worden gewijzigd van ‘RAID’ naar ‘AHCI/NVMe’ voordat de C:\ drive in Safe Mode zichtbaar is.
- BitLocker-gebruikers:
- Gebruik de ‘advanced restart options’ om een command prompt te openen.
- Skip het verzoek om een BitLocker-sleutel wanneer deze wordt gevraagd.
- Run het commando:
bcdedit /set {default} safeboot minimal
. - Boot het systeem in Safe Mode en volg de stappen hierboven om het betreffende .sys bestand te hernoemen.
- Na herstart in Safe Mode, draai ‘msconfig’.
- Op de boot tab moet SafeBoot weer uitgezet worden.
- Herstart het systeem om uit Safe Mode te komen.
19.07.2024
Meldingen van deze problemen komen uit diverse landen. In de VS worden lokale 911-telefoonlijnen, openbaar vervoer en vliegvelden getroffen. In Nederland melden organisaties zoals Schiphol en journalisten van DPG Media (uitgever van NU.nl en de Volkskrant) dat zij ook problemen ondervinden.
Deze fout kan grote storingen veroorzaken omdat de Crowdstrike-software zowel op Windows-computers als -servers draait. Experts waarschuwen voor potentiële gevolgen op grote schaal.
Windows-crash
De problemen zijn terug te voeren naar de Crowdstrike Falcon-software voor Windows. Deze software, vooral gebruikt door grote organisaties, biedt bescherming tegen cyberdreigingen en heeft uitgebreide systeemrechten. De recente update introduceerde een fout die resulteert in een ‘bootloop’, waarbij computers voortdurend herstarten en het blauwe crashscherm van Windows verschijnt.
Reacties
Een update voor de beveiligingssoftware van Crowdstrike zorgt voor een blue screen of death en boot loop bij Windows-computers, zo laten gebruikers en organisaties op onder andere Hacker News en Reddit weten. In een bericht aan klanten meldt Crowdstrike dat het bekend is met crashes op Windows-systemen, veroorzaakt door de ‘Falcon Sensor’. Het securitybedrijf stelde in een eerste versie van het bericht aan een update te werken en dat klanten geen nieuwe tickets hierover hoeven te openen.
Impact
Crowdstrike’s meest recente update zorgt wereldwijd voor bluescreens in computersystemen van allerlei instanties. Hierdoor blijven allerlei computers constant opnieuw opstarten. Normaliter moet deze Falcon Sensor-software van Crowdstrike juist zorgen dat systemen beveiligd zijn tegen ransomware en andere cyberaanvallen. Crowdstrike heeft het probleem erkend.
De gevolgen zijn desastreus. In Nederland is bijvoorbeeld Schiphol getroffen; de inchecksystemen werken niet goed door de storing. Bij luchtvaartmaatschappijen Transavia en KLM worden storingen gemeld. Internationaal zijn al vluchten geannuleerd om deze reden. https://www.telegraaf.nl/financieel/785459651/websites-plat-operaties-uitgesteld-en-problemen-op-luchthavens-door-internationale-computerstoring
In Nederland is ook het UWV waarschijnlijk getroffen, hun website ligt eruit. Diverse ziekenhuizen en posten voor spoedeisende hulp zijn gesloten. Ook diverse mediabedrijven zijn getroffen, waaronder DPG Media en Talpa.
Op Allestoringen.nl zie je tal van instanties waar storingen gemeld zijn, zoals bij banken Knab en ING. Pin-betalingen lijken op diverse plekken niet te werken, al zegt een woordvoerder van de Betaalvereniging Nederland geen meldingen te hebben gekregen van storingen.
Wereldwijd hebben honderden bedrijven verbindingsproblemen die waarschijnlijk door deze storing in de beveiligingssoftware van Crowdstrike lijken te worden veroorzaakt. Dat resulteert in BSOD’s op Windows-computers, waardoor vaak hele systemen plat komen te liggen. Crowdstrike erkent de problemen op zijn eigen forum, waar ze aangeven veel berichten te ontvangen over BSOD’s op Windows-hosts, die op meerdere sensorversies lijken voor te komen. Het bedrijf zegt dit te onderzoeken en later met meer informatie te komen. Ook op Reddit verschijnen updates van het bedrijf.
Voor zover bekend komen de problemen wereldwijd voor, zowel op Windows 10- als op Windows 11-machines.
De bluescreens of death lijken te worden veroorzaakt in csagent.sys. Beheerders kunnen dat omzeilen door Windows in safe mode te starten en in C:\Windows\System32\Drivers het bestand C-00000291*.sys te verwijderen.
Afgelaste operaties en vliegtuigen aan de grond
Ook op Allestoringen komen veel meldingen binnen, waardoor onder andere diensten van banken, ziekenhuizen, DigiD en providers slecht bereikbaar zijn. De exacte omvang van de storing is niet duidelijk, maar die lijkt op het eerste gezicht enorm te zijn. In Australië liggen bijvoorbeeld supermarkten plat en hebben luchthavens last van de storing.
De NOS meldt dat in Nederland onder andere problemen ontstaan op Schiphol. De luchthaven zegt zelf ook op X dat er impact is op vluchten, maar het is onduidelijk hoe omvangrijk die zijn. Onder andere Transavia zegt dat sommige vluchten mogelijk uitvallen. Ook Ryanair meldt op een statuspagina dat het problemen heeft. In de Verenigde Staten ligt een groot deel van het vliegverkeer plat, onder andere door storingen bij de twee grootste maatschappijen Delta en United.
Ook ziekenhuizen lijken kwetsbaar. Het Scheper-ziekenhuis in Emmen zegt dat het geen patiënten meer ontvangt in de polikliniek. Ook gaan operaties niet door en is de spoedeisende hulp gesloten. Een woordvoerder bevestigt aan Tweakers dat dat te maken heeft met de Crowdstrike-storing. Hetzelfde gebeurde met het Slingeland-ziekenhuis in Doetinchem.
Het is overigens lastig te zeggen of de meldingen op Allestoringen verband hebben met de problemen bij Crowdstrike. Zo komen er momenteel veel meldingen binnen over een stroomstoring van Liander, maar volgens een woordvoerder heeft dat niets te maken met Crowdstrike. “Wij nemen die dienst niet af. Dat is puur toeval.”
Het Nederlands UWV is ook slecht bereikbaar. De websites zijn niet bereikbaar, inclusief werk.nl waarin werkzoekenden terecht kunnen. Maar ook daar is niet zeker of dat komt door de storing bij Crowdstrike. De instantie onderzoekt dat nog, maar kan er geen uitsluitsel over geven.
Oplossing
Crowdstrike heeft in een interne blogpost de problemen bevestigd en de update teruggetrokken. Inmiddels is er ook een workaround waarbij beheerders een bestand moeten verwijderen. Verdere details zijn nog niet door Crowdstrike gegeven. Vooralsnog is er geen officiële oplossing gepubliceerd. Gebruikers melden op X dat zij hun Windows-computers weer aan de praat krijgen door technische handelingen uit te voeren, maar deze oplossingen zijn nog niet breed inzetbaar.