Takvim yaprakları 19 Temmuz 2024’ü gösterirken tüm dünyayı çalkalayan büyük ölçekli bilişim sorunları yaşanıyor. Bu problem o kadar büyük ki, dünya üzerindeki birçok ülkedeki dev şirketleri, havalimanlarını, bankalar, ödeme kuruluşları, gıda zincirleri, medya kuruluşları ve hatta borsalar dahil olmak üzere sayısız sektörü olumsuz etkileniyor. Baştan belirtelim, Mac ve Linux işletim sistemine sahip cihazlarda sorun yok. Sorunun kaynağı Microsoft’a siber güvenlik yazılımları sağlayan CrowdStrike ile alakalı ve Windows işletim sistemiyle çalışan aygıtlarda çökme sorunları baş gösteriyor.
Dünyanın dört bir yanındaki Windows makineler önyükleme yaparken mavi ekran hatalarıyla karşılaşmakta. Sorun, Falcon Sensor aracıyla ilgili bir sorunla ilgili olduğunu doğrulayan güvenlik şirketi CrowdStrike’tan kaynaklanıyor.
CrowdStrike ile İlgili Sorunun Kökünde Ne Var?
Peki problemin kaynağı ne? CrowdStrike tarafından yayınlanan hatalı bir siber güvenlik güncellemesi nedeniyle sayısız işletmenin işleri aksadı. Aksaklıklar dolayısıyla milyonlarca insanı da etkiliyor. Uçuşu olan bazı kişiler rötar nedeniyle beklemek zorunda kaldı, tren şirketlerinin ulaşımı aksadı, tıbbi tesisler hasta kaydı yapamadı, yayın şirketleri yayın yapamadı, acil çağrı merkezleri olumsuz etkilendi ve banka sistemleri hizmet veremedi. Ve daha sayısız şey..
Güvenlik yönetim uygulaması CrowdStrike’ı kullanan işletmeler, yapılan son güncelleme sonrasında problemlerle karşılaşmaya başladı. Bu arada tüm sistemlerin etkilenmediği, güncellemeleri otomatik olarak alan sistemlerin etkilendiği belirtiliyor. Yayınlanan son sorunlu güncellemeyi yapan sistemler, mavi ekran hatalarıyla boğuşmaya başladı.
Özetle, yakın zamanda yapılan bir CrowdStrike kod güncellemesinin dünya genelinde Windows makinelerini bozduğu görülüyor. Sorun 18 Temmuz gecesi geç saatlerde meydana geldi ve her ölçekten şirketi etkiledi. Yıllardan beri bilgisayar kullanıcılarının aşina olduğu mavi ekran hatası, şu son 2 günde sayısız kez kullanıcıların canını sıktı. Bunun nedeni, Crowdstrike Başkanı ve CEO’su George Kurtz’un da doğruladığı üzere, yakın zamanda yapılan bir CrowdStrike güncellemesiyle bağlantılı.
Yayınlanan hatalı güncelleme, küresel ölçekli olarak bilgisayarlarda mavi ekran hatalarına sebep oluyor ve sistemler önyükleme döngüsüne girerek “csagent.sys (PAGE_FAULT_IN_NONEPAGED_AREA)” hata mesajı vermeye başlıyor.
Mavi ekran sorunu yanlış yapılandırılmış bir yapılandırma sorunundan kaynaklanıyor. Maalesef ki kullanıcılar, sorunu potansiyel olarak çözmek için harekete geçmek zorunda. Çözüm için bir rehberlik sağlanmadı lakin internet üzerinde işe yaradığı söylenen geçici çözümleri birazdan sizinle paylaşacağız.
BBC News web sitesine göre Microsoft, kendi hizmetleriyle ilgili sorunlar üzerindeki şüpheleri ortadan kaldıran bir açıklama yayınladı ve odak noktası CrowdStrike’ın hizmetlerine geçti.
Yazılım devi, yaptığı bir açıklamayla birlikte üçüncü taraf yazılım platformundan gelen bir güncelleme nedeniyle Windows cihazlarını etkileyen bir sorunun farkında olduğunu doğruladı. Şirket “Bir çözümün yakında geleceğini tahmin ediyoruz” dedi.
Sonrasında Crowdstrike Başkanı ve CEO’su George Kurtz bir açıklama yaptı:
“CrowdStrike, Windows ana bilgisayarları için bir içerik güncellemesinde bulunan kusurdan etkilenen müşterilerle aktif olarak çalışmaktadır. Mac ve Linux ana bilgisayarları etkilenmemiştir. Bu bir güvenlik olayı ya da siber saldırı değildir. Sorun tespit edilmiş, izole edilmiş ve bir düzeltme yapılmıştır. Müşterilerimizi en son güncellemeler için destek portalına yönlendiriyoruz ve web sitemizde eksiksiz ve sürekli güncellemeler sunmaya devam edeceğiz. Ayrıca kuruluşların CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurduklarından emin olmalarını öneriyoruz. Ekibimiz CrowdStrike müşterilerinin güvenliğini ve istikrarını sağlamak için tamamen seferber olmuş durumdadır.”
Kısaca söyleyebiliriz ki hatalar Microsoft değil, CrowdStrike kaynaklı. Sorunun kaynağı CrowdStrike’ın Falcon Sensor ürünü için bir içerik güncellemesi. Peki bu hizmet ne işe yarıyor? CrowdStrike web sitesine göre:
“Akıllı ve hafif CrowdStrike Falcon sensörü, diğerlerinden farklı olarak sistemlerinize yapılan saldırıları engellerken, tehditleri hızlı bir şekilde tespit etmek için etkinliği olduğu gibi yakalıyor ve kaydediyor.”
Kimler Etkilendi?
Biraz önce de söylediğimiz gibi, macOS ve Linux kullanıcıları hiçbir etki görmedi. Ancak Windows kullanan havaalanları, bankalar, borsalar, TV ağları ve tıbbi hizmetler dünya genelinde aksaklıklar yaşadı.
Ülkemizde Türk Hava Yolları, Pegasus, Trendyol, DenizBank, ve TÜVTÜRK gibi şirketler doğrudan etkilendi. Hizmet veren birçok ödeme kuruluşunda problemler yaşanıyor. Örneğin bazı ön ödeme hizmetleri hizmet veremiyor. Türk Hava Yolları, yaşanan küresel sıkıntı nedeniyle 84 seferinin iptal edildiğini duyurdu. Türkiye’de kesintiden etkilenen kurumlar arasında yer alan DenizBank, müşterilerine yönelik bir açıklama yaptı:
“Kullandığımız global yazılım sisteminin dünya genelinde yaşadığı teknik aksaklık nedeniyle ülkemizde de birçok kurumu etkileyen kesintiler yaşanmaktadır. Bankamız, söz konusu aksaklığın giderilmesi ve tüm kanallarımızın en kısa sürede hizmete açılması için çalışmaktadır.”
THY, daha sonrasında ücretsiz rezervasyon değişikliği yapılabileceğini açıkladı:
“Dünyada farklı sektörlerden birçok şirketi etkileyen yazılım kaynaklı problemin çözümü doğrultusunda operasyon yoğunluğumuzu düşürmek için çalışmalar yapmaktayız. Uçuşlarda aksama yaşanmaması adına bazı seferler iptal edilecek olup, uçuşlarımız en kısa sürede kademeli olarak normal seyrine dönecektir. Yaşanan aksaklıktan dolayı siz değerli misafirlerimizden özür dileriz.“
Bilgi Teknolojileri Kurumu (BTK) ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), ülkemizi de etkileyen küresel sorun hakkında çalışma başlattı. USOM’un açıklaması şu şekilde:
“Söz konusu kesintinin CrowdStrike ürününü kullanan kurum ve kuruluşlarda meydana geldiği tespit edilmekle birlikte çözüm önerileri SİP platformu üzerinden tüm SOME’lerimiz (Siber Olaylara Müdahale Merkezi) ile paylaşılmıştır. Ülkemizin siber sınırlarını korumak için yerli ve milli ürünlerimizle 7 gün 24 saat aralıksız çalışmaya devam ediyoruz.”
Ülkemizdeki şirketlerin yanı sıra, İngiltere’nin önde gelen televizyon haber kanallarından Sky News bugün yayın yapamadı. Yine İngiltere’nin en büyük tren şirketi, yolcuları ciddi kesintiler beklemeleri konusunda uyardı. Londra Borsası da teknik sorunlarla karşı karşıya.
ABD’deki bazı havalimanlarında çok sayıda aksaklık yaşanıyor. ABD Federal Havacılık İdaresi, Delta, United ve American Airlines’tan gelen tüm uçuşların durdurulduğunu duyurdu. Acil yardım sistemleri çöktü. Avusturalya’nın başkenti Sdney’in havalı̇manı sözcüsü, “Uçuşlar yapılıyor ancak akşam boyunca bazı gecı̇kmeler olabı̇lı̇r” dedi. Danimarka’da acil servis ve alarm sistemleri düzgün çalışmıyor.
İspanya’da tüm havalimanları problemlerle karşı karşıya kaldı. Berlin Havaalanı uçuşlarını askıya almayı tercih etti. Reuters, Paris’te yapılacak Olimpiyat Oyunları için IT sistemlerinin etkilendiğini ve organizatörlerin acil durum sürecine geçtiğini bildiriyor. Bir telekomünikasyon şirketi olan Avustralyalı Telstra Group da kesintilerle karşı karşıya. Hindistan’ın Delhi havalimanında yolcuların işlemleri manuel olarak yapılıyor ve uçuş saatleri beyaz tahta aracılığıyla bildiriliyor.
Bu Bir Siber Saldırı mı?
Hayır, bu bir siber saldırı değil. Şu anda bunun kötü niyetle düzenlenmiş bir saldırı olduğuna dair herhangi bir kanıt bulunmuyor. Hiçbir hack grubundan açıklama gelmedi. Ayrıca saatler geçmesine rağmen herhangi bir kişisel veri kaybı ya da güvenlik sorunu olmadığına inanılıyor.
Sorun herhangi bir siber saldırı ile bağlantılı değil gibi görünüyor, sadece hatalı bir güncellemeden kaynaklı. Maalesef ki tek bir güncelleme bile milyonlarca ve hatta belki milyarlarca kişinin yaşamını olumsuz etkileyebiliyor.
CrowdStrike Nedir?
CrowdStrike bir Amerikan siber güvenlik şirketi. Merkezi Austin, Teksas’ta bulunan CrowdStrike, “bulut iş yükü koruması ve uç nokta güvenliği” sağlamakta. Yazılımın amacı saldırıları ve kesintileri önlemek ve bu yazılımın şu anda yaşanan küresel bilişim sorunlarına neden olması oldukça ironik. Sorunun nedeni ise görünüşe Falcon Sensor adlı, kötü niyetli davranışlar için İnternet’e giden ve gelen bağlantıları analiz eden bir araç.
CrowdStrike’ın Tehdit Avlama Direktörü Brody Nisbet sorunun CrowdStrike’tan kaynaklandığını doğruladı. Sorunlar “hatalı bir kanal dosyasından” kaynaklanıyor.
Çözüm Ne? Mavi Ekran ve Kurtarma Hatası İçin Neler Yapılabilir?
Maalesef şu anda geçici çözümler üzerinden gideceğiz. Hatalı bir kanal dosyası var ve tam olarak bir güncelleme yapılmış değil. Mavi ekran hatalarına ilişkin hata söylediğimiz gibi csagent.sys (veya C-00000291*.sys) dosyası ile ilgili gibi görünüyor. Bu dosyayı silerseniz veya sürücü klasörünü yeniden adlandırırsanız sorunsuz bir şekilde önyükleme yapabilirsiniz. Güvenli Mod’u aktif etmek için aşağıdaki rehberimizden faydalanabilirsiniz.
Yöntem 1: Güvenli Modu Kullanın ve CrowdStrike Klasörünün Adını Değiştirin
- Makale yardımıyla güvenli modu açın.
- C:\Windows\System32\drivers\CrowdStrike dizinine gidin
- Arama yapın ve “C-00000291*.sys” ismiyle eşleşen dosyayı bulun, silin.
- Eğer sonuca varamazsanız aşağıdaki yolu izleyin:
- Güvenli Mod’da Komut İstemi’ni açın. Bunun için arama kısmına “Komut İstemi” yazdıktan sonra sağ tıklayarak yönetici olarak çalıştırabilirsiniz.
- Aşağıdaki komutu tırnak işareti olmadan kullanarak Komut İstemi’nde sürücüler dizinine gidin:
- “cd \windows\system32\drivers”
- CrowdStrike klasörünü yeniden adlandırmak için şu komutu kullanın:
- “ren CrowdStrike CrowdStrike_old”
Yukarıdaki işlem C:\Windows\System32\drivers\CrowdStrike içindeki crowdstrike klasörünü CrowdStrike_old olarak yeniden adlandıracak. Böylelikle sorun çözülecek ve bilgisayarınız sorunsuz şekilde açılacak.
Yöntem 2: Güvenli Mod ile Etkilenen Dosyayı Silin
- Yukarıdaki yolu izleyerek dosyayı silmeyi deneyebilirsiniz. Aynı şekilde bilgisayarınızı Güvenli Mod ile başlatmanız gerekiyor.
- Güvenli modda Komut İstemi’ni (admin) veya Windows PowerShell’i (Admin) açın.
- Komut İstemi’nden CrowdStrike dizinine gitmek için aşağıdaki komutu tırnak işareti olmadan yazın:
- “cd C:\Windows\System32\drivers\CrowdStrike“
- Etkilenen dosyayı silmek için, C-00000291*.sys ismiyle eşleşen dosyayı bulmanız gerek.
- İlk olarak aşağıdaki komutu çalıştırın:
- “C-00000291*.sys“
- Örneğin, dosyanın adı C-00000291abc.sys gibi bir şey olabilir. Dosyayı belirledikten sonra “del C-00000291.sys” komutunu kullanarak silin.
C-00000291.sys gibi bir dosya adından bahsettik lakin sizin sisteminizde isimlendirme biraz farklı olabilir. Dosyayı doğru bir şekilde tanımlamak için, adımları takip ettiğinizden ve dir komutunu kullandığınızdan emin olun.
Yöntem 3: CSAgent Hizmetini Engellemek için Kayıt Defteri Düzenleyicisi’ni Kullanın
- Sistemi Güvenli Mod’da açtıktan sonra Windows Kayıt Defteri Düzenleyicisi’ni açın (Kayıt Defteri Düzenleyicisi’ni bulmak için Win+R tuşlarını kullanın).
- Kayıt Defteri Düzenleyicisi’nde aşağıdaki yola gidin:
- “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent“
- CSAgent anahtarında, sağ bölmede Start (Başlat) girişini bulun.
- Değerini düzenlemek için Başlat’a çift tıklayın.
- Değer verilerini 1 yerine (hizmetin otomatik olarak başlatılacağı anlamına geliyor) 4 olarak (hizmeti devre dışı bırakıyor) değiştirin.
- Değişiklikleri kaydetmek için Tamam’a tıklayın.
Windows 10 Güvenli Mod Nasıl Açılır?
Öncelikle Başlat menüsünden Aç/Kapa butonuna tıklayın ve Shift tuşuna basılı kalarak Yeniden Başlat seçeneğine tıklayın.
Bilgisayar Açılmıyorsa Güvenli Moda Nasıl girilir?
Eğer bilgisayarınız hiç açılmadığı halde güvenli moda girmeniz gerekiyorsa:
- Sistemi birkaç defa güç tuşuna basılı tutarak kapatın. Windows, bu durumda bir sonraki açılışta onarma ekranına geçecektir.
- Sistem yeniden başladığında normalde karşınıza çıkmayan bir menü belirecektir. Bu menüde yer alan Sorun gider seçeneğine tıklayın.
Açılan menüde Gelişmiş seçeneklere tıklayın.
Başlangıç Ayarları seçeneğine tıklayın.
Karşınıza çıkan ekrandaki Yeniden Başlat seçeneğine tıklayarak güvenli moda gireceğimiz menüyü başlatın.
Sistem yeniden başladıktan sonra baştan beri aradığımız menü karşımıza çıkacaktır.
Bu ekranda 4 veya F4 tuşlarına basarak güvenli moda girebilirsiniz. Güvenli mod ile işiniz bittiğinde sistemi yeniden başlatarak standart Windows kullanmaya geri dönebilirsiniz.