Wereldwijde Windows crashes door fout in Crowdstrike-software 💻🔧

Windows-computers wereldwijd ervaren crashes door een fout in de software van cybersecuritybedrijf Crowdstrike. De software, bedoeld om computers veilig te houden, veroorzaakt door een recente update constante herstarts.


De storing treft Windows-werkstations en -servers, waarbij gebruikers massale uitval melden die hele bedrijven en vloten van honderdduizenden computers offline haalde.

20.07.2024

Gevolgen van CrowdStrike storingen wereldwijd:

Land Impact
Australië Media, luchtvaartmaatschappijen, supermarkten, banken en ziekenhuizen getroffen
België Treinkaartverkoop, digitale aankondigingen, media, banken, luchthavens en overheidsdiensten verstoord
Canada TD Canada Trust app en Vancouver International Airport getroffen
China Op veel plekken de bekende blue screens, sommige bedrijven mochten eerder sluiten
Kroatië Gezondheidsinformatiesystemen en problemen met luchtverkeersleiding
Tsjechië Praagse luchthaven getroffen
Frankrijk TV-kanalen en systemen voor de Olympische Spelen in Parijs verstoord
Duitsland Vluchten op Berlin Airport gestopt, Lufthansa getroffen, ziekenhuisoperaties geannuleerd
Hongarije Problemen op de luchthaven van Boedapest
Hongkong Vertragingen bij het inchecken op de luchthaven, luchtvaartboekingssystemen uitgevallen
India Grote luchtvaartmaatschappijen en IT-bedrijven getroffen
Israël Nooddiensten, ziekenhuizen en banken getroffen
Japan Problemen bij luchtvaartmaatschappij Spring Japan
Maleisië Problemen met het ticketingsysteem van KTMB-spoorwegen
Nederland Schiphol luchthaven, banken en medische diensten verstoord
Nieuw-Zeeland Banken, supermarkten, Auckland Transport en Christchurch Airport getroffen
Filipijnen Grote banken, telecommunicatie, luchtvaartmaatschappijen en overheidswebsite uitgevallen
Zuid-Afrika Problemen met bankieren
Zuid-Korea Problemen bij luchtvaartmaatschappij Jeju Air
Singapore Vertragingen op Changi Airport, verschillende diensten verstoord
Spanje IT-storing in nationale luchtverkeersleiding
Zwitserland Landingen op luchthaven Zürich gestopt
Verenigd Koninkrijk Nieuws kanalen, luchthavens, spoorwegmaatschappijen, NHS en verschillende diensten verstoord
Verenigde Staten Grondstops bij luchtvaartmaatschappijen, 911-diensten verstoord, aandelen van Microsoft en CrowdStrike gedaald

Wat is bekend?

  • De problemen veroorzaakt door de update van de CrowdStrike-agent doen zich alleen voor op Windows-systemen. Linux- en Mac-systemen zijn niet getroffen.
  • Windows-systemen die vanochtend (19-07-2024) later dan 05:27 UTC online zijn gekomen, zijn niet getroffen.
  • De workaround die CrowdStrike heeft aangeboden werkt. In sommige gevallen is een variant van de workaround nodig.

Oplossing: De versie die problemen veroorzaakt is: Channel file ‘C-00000291*.sys’ met timestamp ‘0409 UTC’. Versies van dit bestand met een timestamp van ‘0527 UTC’ of later zijn goede versies.

Stappen:

  1. Systeem herstarten: Probeer bij systemen die de update wel hebben uitgevoerd allereerst het systeem te herstarten om daarmee automatisch een nieuwe versie van de channel file te downloaden.
  2. Handmatige interventie:
    1. Boot Windows naar de Safe Mode.
    2. Navigeer naar C:\Windows\System32\drivers\CrowdStrike directory in Explorer.
    3. Lokaliseer bestand C-00000291*.sys, klik op de rechtermuisknop en verwijder het bestand of hernoem deze naar C-00000291*.renamed.
    4. Boot de host opnieuw.

Workaround:

  • BIOS Storage op ‘RAID’:
    • Voor fysieke laptop/desktop systemen waarop BIOS storage op ‘RAID’ ingesteld staat, moet eerst deze instelling worden gewijzigd van ‘RAID’ naar ‘AHCI/NVMe’ voordat de C:\ drive in Safe Mode zichtbaar is.
  • BitLocker-gebruikers:
    • Gebruik de ‘advanced restart options’ om een command prompt te openen.
    • Skip het verzoek om een BitLocker-sleutel wanneer deze wordt gevraagd.
    • Run het commando: bcdedit /set {default} safeboot minimal.
    • Boot het systeem in Safe Mode en volg de stappen hierboven om het betreffende .sys bestand te hernoemen.
    • Na herstart in Safe Mode, draai ‘msconfig’.
    • Op de boot tab moet SafeBoot weer uitgezet worden.
    • Herstart het systeem om uit Safe Mode te komen.

19.07.2024

Meldingen van deze problemen komen uit diverse landen. In de VS worden lokale 911-telefoonlijnen, openbaar vervoer en vliegvelden getroffen. In Nederland melden organisaties zoals Schiphol en journalisten van DPG Media (uitgever van NU.nl en de Volkskrant) dat zij ook problemen ondervinden.

Deze fout kan grote storingen veroorzaken omdat de Crowdstrike-software zowel op Windows-computers als -servers draait. Experts waarschuwen voor potentiële gevolgen op grote schaal.

Windows-crash

De problemen zijn terug te voeren naar de Crowdstrike Falcon-software voor Windows. Deze software, vooral gebruikt door grote organisaties, biedt bescherming tegen cyberdreigingen en heeft uitgebreide systeemrechten. De recente update introduceerde een fout die resulteert in een ‘bootloop’, waarbij computers voortdurend herstarten en het blauwe crashscherm van Windows verschijnt.

Windows-computers crashen wereldwijd door fout in softwareReacties

Een update voor de beveiligingssoftware van Crowdstrike zorgt voor een blue screen of death en boot loop bij Windows-computers, zo laten gebruikers en organisaties op onder andere Hacker News en Reddit weten. In een bericht aan klanten meldt Crowdstrike dat het bekend is met crashes op Windows-systemen, veroorzaakt door de ‘Falcon Sensor’. Het securitybedrijf stelde in een eerste versie van het bericht aan een update te werken en dat klanten geen nieuwe tickets hierover hoeven te openen.

Impact

Crowdstrike’s meest recente update zorgt wereldwijd voor bluescreens in computersystemen van allerlei instanties. Hierdoor blijven allerlei computers constant opnieuw opstarten. Normaliter moet deze Falcon Sensor-software van Crowdstrike juist zorgen dat systemen beveiligd zijn tegen ransomware en andere cyberaanvallen. Crowdstrike heeft het probleem erkend.

De gevolgen zijn desastreus. In Nederland is bijvoorbeeld Schiphol getroffen; de inchecksystemen werken niet goed door de storing. Bij luchtvaartmaatschappijen Transavia en KLM worden storingen gemeld. Internationaal zijn al vluchten geannuleerd om deze reden. https://www.telegraaf.nl/financieel/785459651/websites-plat-operaties-uitgesteld-en-problemen-op-luchthavens-door-internationale-computerstoring

In Nederland is ook het UWV waarschijnlijk getroffen, hun website ligt eruit. Diverse ziekenhuizen en posten voor spoedeisende hulp zijn gesloten. Ook diverse mediabedrijven zijn getroffen, waaronder DPG Media en Talpa.

Op Allestoringen.nl zie je tal van instanties waar storingen gemeld zijn, zoals bij banken Knab en ING. Pin-betalingen lijken op diverse plekken niet te werken, al zegt een woordvoerder van de Betaalvereniging Nederland geen meldingen te hebben gekregen van storingen.

Wereldwijd hebben honderden bedrijven verbindingsproblemen die waarschijnlijk door deze storing in de beveiligingssoftware van Crowdstrike lijken te worden veroorzaakt. Dat resulteert in BSOD’s op Windows-computers, waardoor vaak hele systemen plat komen te liggen. Crowdstrike erkent de problemen op zijn eigen forum, waar ze aangeven veel berichten te ontvangen over BSOD’s op Windows-hosts, die op meerdere sensorversies lijken voor te komen. Het bedrijf zegt dit te onderzoeken en later met meer informatie te komen. Ook op Reddit verschijnen updates van het bedrijf.

Voor zover bekend komen de problemen wereldwijd voor, zowel op Windows 10- als op Windows 11-machines.

De bluescreens of death lijken te worden veroorzaakt in csagent.sys. Beheerders kunnen dat omzeilen door Windows in safe mode te starten en in C:\Windows\System32\Drivers het bestand C-00000291*.sys te verwijderen.

Afgelaste operaties en vliegtuigen aan de grond

Ook op Allestoringen komen veel meldingen binnen, waardoor onder andere diensten van banken, ziekenhuizen, DigiD en providers slecht bereikbaar zijn. De exacte omvang van de storing is niet duidelijk, maar die lijkt op het eerste gezicht enorm te zijn. In Australië liggen bijvoorbeeld supermarkten plat en hebben luchthavens last van de storing.

De NOS meldt dat in Nederland onder andere problemen ontstaan op Schiphol. De luchthaven zegt zelf ook op X dat er impact is op vluchten, maar het is onduidelijk hoe omvangrijk die zijn. Onder andere Transavia zegt dat sommige vluchten mogelijk uitvallen. Ook Ryanair meldt op een statuspagina dat het problemen heeft. In de Verenigde Staten ligt een groot deel van het vliegverkeer plat, onder andere door storingen bij de twee grootste maatschappijen Delta en United.

Ziekenhuis crowdstrikeOok ziekenhuizen lijken kwetsbaar. Het Scheper-ziekenhuis in Emmen zegt dat het geen patiënten meer ontvangt in de polikliniek. Ook gaan operaties niet door en is de spoedeisende hulp gesloten. Een woordvoerder bevestigt aan Tweakers dat dat te maken heeft met de Crowdstrike-storing. Hetzelfde gebeurde met het Slingeland-ziekenhuis in Doetinchem.

Het is overigens lastig te zeggen of de meldingen op Allestoringen verband hebben met de problemen bij Crowdstrike. Zo komen er momenteel veel meldingen binnen over een stroomstoring van Liander, maar volgens een woordvoerder heeft dat niets te maken met Crowdstrike. “Wij nemen die dienst niet af. Dat is puur toeval.”

Het Nederlands UWV is ook slecht bereikbaar. De websites zijn niet bereikbaar, inclusief werk.nl waarin werkzoekenden terecht kunnen. Maar ook daar is niet zeker of dat komt door de storing bij Crowdstrike. De instantie onderzoekt dat nog, maar kan er geen uitsluitsel over geven.

Oplossing

Crowdstrike heeft in een interne blogpost de problemen bevestigd en de update teruggetrokken. Inmiddels is er ook een workaround waarbij beheerders een bestand moeten verwijderen. Verdere details zijn nog niet door Crowdstrike gegeven. Vooralsnog is er geen officiële oplossing gepubliceerd. Gebruikers melden op X dat zij hun Windows-computers weer aan de praat krijgen door technische handelingen uit te voeren, maar deze oplossingen zijn nog niet breed inzetbaar.