Microsoft rilascia un fix tool per Windows per rimuovere il driver difettoso di CrowdStrike, all’origine del blocco globale dei PC di venerdì scorso. Ma bisogna stare attenti perché girano falsi fix di CrowdStrike che diffondono malware e data wiper.
“Il caso Crowdstrike è una opportunità unica per gli attaccanti“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “L’attenzione mediatica sul caso e lo sforzo in attività di recupero delle aziende impattate le rende vulnerabili a molteplici attacchi. Attori malevoli si sono già attivati per offrire falsi software per risolvere il problema, tuttavia si tratta di malware“.
Ecco come mitigare il rischio di cancellazione dei dati e di accesso da remoto e dove scaricare il corretto fix tool, anche se “il tool rilasciato da Microsoft arriva comunque troppo tardi e non risolve quella che è la criticità più importante per le infrastrutture: l’imposizione di un reboot“, secondo Alessandro Di Liberto, Senior SOC Analyst di Tinexta Cyber.
Indice degli argomenti
Attenti al falso aggiornamento di CrowdStrike
Venerdì scorso, CrowdStrike ha distribuito un aggiornamento difettoso che ha causato l’arresto improvviso di milioni di dispositivi Windows in tutto il mondo con una schermata blu della morte (BSOD) e l’avvio di cicli di riavvio. Il blackout è culminato in 7 mila voli cancellati, crash di media, ospedali, banche e treni in tilt.
Gli attori delle minacce stanno utilizzando il cyber caos di venerdì, in seguito alla massiccia interruzione delle attività a causa dell’aggiornamento difettoso di CrowdStrike, per colpire le aziende con strumenti in gradi cancellare i dati e di accedere da remoto.
“Osserveremo diverse famiglie di malware diffuse con questa tecnica di social engineering, inclusi RAT, wiper e ransomware”, mette in guardia Paganini.
Mentre le aziende cercavano assistenza per riparare gli host Windows colpiti, i ricercatori e le agenzie governative hanno rilevato un aumento delle e-mail di phishing che puntavano ad approfittare della situazione.
L’inconveniente ha, infatti, causato massicce interruzioni dell’attività IT, in quanto le aziende hanno improvvisamente scoperto che tutti i loro dispositivi Windows non funzionavano più.
CrowdStrike consiglia ai clienti di verificare che comunichino con rappresentanti legittimi attraverso canali ufficiali, poiché “avversari e malintenzionati cercheranno di sfruttare eventi come questo”.
Anche il National Cyber Security Center (NCSC) del Regno Unito ha avvertito di aver osservato un aumento dei messaggi di phishing volti a sfruttare l’interruzione.
La piattaforma di analisi automatica del malware AnyRun ha notato “un aumento dei tentativi di impersonare CrowdStrike che possono potenzialmente portare al phishing”.
Il vero fix tool di Microsoft
Microsoft ha rilasciato uno strumento di recupero WinPE personalizzato per trovare e rimuovere l’aggiornamento difettoso di CrowdStrike che venerdì ha mandato in crash circa 8,5 milioni di dispositivi Windows.
Per risolvere il problema, gli amministratori dovevano effettuare il riavvio dei dispositivi Windows interessati in modalità provvisoria o in ambiente di ripristino, rimuovendo manualmente il driver kernel difettoso dalla cartella C:\Windows\System32\drivers\CrowdStrike.
Tuttavia, poiché le aziende contano centinaia, se non migliaia, di dispositivi Windows interessati, l’esecuzione manuale di queste correzioni può essere problematica, lunga e difficile.
Per aiutare gli amministratori IT e il personale di supporto, Microsoft ha rilasciato uno strumento di ripristino personalizzato che automatizza la rimozione dell’aggiornamento CrowdStrike difettoso dai dispositivi Windows in modo che possano nuovamente avviarsi normalmente.
“Come seguito al problema dell’agente CrowdStrike Falcon che ha avuto un impatto su client e server Windows, abbiamo rilasciato uno strumento USB per aiutare gli amministratori IT ad accelerare il processo di riparazione”, si legge in un bollettino di supporto Microsoft.
Lo strumento vero di ripristino
“Lo strumento di ripristino firmato di Microsoft è disponibile nel Microsoft Download Center”.
Per utilizzare lo strumento di ripristino di Microsoft, il personale IT deve disporre di un client Windows a 64 bit con almeno 8 GB di spazio, privilegi amministrativi su questo dispositivo, un’unità USB con almeno 1 GB di spazio di archiviazione e una chiave di ripristino Bitlocker, se necessario.
Inoltre, è necessaria un’unità flash USB da 32 GB o più piccola, altrimenti non sarà possibile formattarla con FAT32, necessario per avviare l’unità stessa.
Lo strumento di ripristino viene creato tramite uno script PowerShell scaricato da Microsoft, che deve essere eseguito con privilegi amministrativi. Una volta eseguito, formatta un’unità USB e crea un’immagine WinPE personalizzata, che viene copiata sull’unità e resa avviabile.
Il file batch
È quindi possibile avviare il dispositivo Windows impattato con la chiave USB e verrà automaticamente eseguito un file batch denominato CSRemediationScript.bat.
Questo file batch chiederà di inserire le chiavi di ripristino Bitlocker necessarie, che possono essere recuperate seguendo i passaggi indicati nel paragrafo successivo.
Lo script cercherà quindi il driver del kernel CrowdStrike difettoso nella cartella C:\Windows\system32\drivers\CrowdStrike e, se rilevato, lo eliminerà automaticamente.
Al termine, lo script chiederà di premere un tasto qualsiasi e il dispositivo si riavvierà.
Una volta eliminato il driver CrowdStrike, il dispositivo dovrebbe riavviarsi in Windows ed essere nuovamente disponibile.
Il recupero delle chiavi di ripristino Bitlocker
Purtroppo, l’ostacolo più grande per gli amministratori di Windows è proprio il recupero delle chiavi di ripristino Bitlocker necessarie.
“Automatizzare il processo di ricerca e cancellazione del bug farà sicuramente risparmiare tempo agli IT Admin“, sottolinea Alessandro Di Libert, “tuttavia, la necessità di reperire e inserire manualmente la chiave Bitlocker va inevitabilmente ad annullare quell’esiguo vantaggio in termini di effort”.
Pertanto, i primi passi da compiere prima di tentare di recuperare i dispositivi consistono nel determinare se è necessaria e recuperarla.
Ma “il rilascio di un tool del genere, distribuito in una situazione di emergenza apre inoltre le porte a possibili threat actors: sono infatti diverse le segnalazioni di falsi tool distribuiti online contenenti in realtà malware come segnalato da Anyrun; sono state, inoltre, segnalate diverse campagne di phishing dove gli attaccanti si presentano come CrowdStrike ingannando gli utenti con un finto tool di aggiornamento che in realtà è invece un wiper che va a cancellare i dati”, avverte Alessandro Di Liberto.
Come mitigare il rischio del finto update CrowdStrike
Sabato scorso il ricercatore di cybersicurezza g0njxa ha segnalato per la prima volta una campagna di malware rivolta ai clienti della banca BBVA che offriva un falso aggiornamento di CrowdStrike Hotfix che installava il Remcos RAT.
Un sito di phishing, portalintranetgrupobbva[.]com, mascherandosi da portale Intranet di BBVA, promuoveva il falso hotfix.
Nell’archivio malevolo sono contenute istruzioni che invitano dipendenti e partner a installare l’aggiornamento per evitare errori di connessione alla rete interna dell’azienda.
“Aggiornamento obbligatorio per evitare errori di connessione e sincronizzazione alla rete interna dell’azienda”, si legge nel file ‘instrucciones.txt’ in spagnolo.
AnyRun, che ha anche twittato sulla stessa campagna, ha detto che il falso hotfix fornisce HijackLoader, che poi rilascia lo strumento di accesso remoto Remcos sul sistema infetto.
In un altro avviso, AnyRun ha annunciato che gli aggressori stanno distribuendo un data wiper con la scusa di fornire un aggiornamento da CrowdStrike.
“Decima il sistema sovrascrivendo i file con zero byte e poi lo segnala su #Telegram”, afferma AnyRun.
Il gruppo hacktivista filo-iraniano Handala
A rivendicare questa campagna è il gruppo hacktivista filo-iraniano Handala, che ha dichiarato su Twitter di aver impersonato CrowdStrike nelle mail inviate alle aziende israeliane per distribuire il data wiper.
“Il consiglio, in questi casi, è sempre quello di non perdere la lucidità e di cercare di mantenere la postura di sicurezza adeguata affidandosi a tools sicuri e certificati”, conclude Alessandro Di Liberto: “Gli host impattati sono milioni e la situazione è sicuramente critica, tuttavia questo è il momento in cui bisogna fare più attenzione. Ripristinare la normale operatività è sicuramente importante, farlo in sicurezza deve tuttavia avere la priorità assoluta”.
I cyber criminali si spacciano per CrowdStrike inviando e-mail dal dominio “crowdstrike.com.vc”, dicendo ai clienti che era stato creato uno strumento per riportare online i sistemi Windows.
Per mitigare i rischi del phishing e del social engineering, occorre grande consapevolezza.
Bisogna evitare di scaricare update, software e app fuori dai marketplace ufficiali.
Inoltre, bisogna prestare sempre “attenzione anche a campagne di spear phishing e a disinformazione volte a screditare le aziende di cyber sicurezza occidentali“, conclude Pirluigi Paganini.
