Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - Problèmes touchant l’EDR de CrowdStrike Falcon

Numéro : AL24-010
Date : 19 juillet 2024

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 19 juillet 2024, le Centre pour la cybersécurité a été informé d’un problème touchant des systèmes à travers le monde, qui résulte d’une mise à jour logicielle défectueuse de l’outil de détection et intervention au point d’extrémité (EDR pour Endpoint Detection and Response) de CrowdStrike Falcon. La mise à jour défectueuse désignée comme un « fichier de canal » donne lieu au plantage des systèmes basés sur Windows utilisant cet outil et fait en sorte de ne pas les restaurer automatiquement. CrowdStrike a précisé que cette erreur touchait uniquement les systèmes Windows, les hôtes Mac et Linux n’étant pas touchés.

L’incidence de ce problème a été observée au Canada et à l’échelle mondiale. On encourage les organisations qui emploient la solution d’ EDR de CrowdStrike Falcon à passer en revue les mesures suggérées ci-dessous pour restaurer les systèmes touchés et à obtenir des directives plus précises en consultant le portail de soutien de CrowdStrike pour les plus récentes mises à jourNote de bas de page 1Note de bas de page 2.

Le Centre pour la cybersécurité a reçu des rapports selon lesquels des auteurs de menaces utilisent cet incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. à des fins d’hameçonnage HameçonnageProcédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux. et d’autres activités malveillantes connexes. Le Centre pour la cybersécurité recommande aux organisations de renforcer les employés pour qu’ils ne fassent confiance qu’aux sources recommandées et qu’ils ne cliquent pas sur des liens sur des courriels non fiables ou douteux.

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes pour supprimer tous les fichiers de canaux touchés sur les systèmes qui plantent durant le démarrage :

  1. Démarrer Windows en mode sans échec ou Windows Recovery Environment (WinRE)
  2. Accéder au dossier C:\Windows\System32\drivers\CrowdStrike
  3. Trouver et supprimer le ou les fichiers correspondant à « C-00000291*.sys »
  4. Démarrer normalement
    Veuillez prendre note que les organisations qui ont recours à BitLocker pourraient devoir utiliser une clé de récupération Note de bas de page 3.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Date de modification :