Aktualizované 20. júla 2024 o 5:39 ET
CrowdStrike aktívne spolupracuje so zákazníkmi postihnutými chybou objavenou v jedinej aktualizácii obsahu pre hostiteľov Windows. Hostitelia Mac a Linux nie sú ovplyvnení. Toto nebol kybernetický útok.
Problém bol identifikovaný, izolovaný a bolo nasadené riešenie. Zákazníkov odkazujeme na najnovšie aktualizácie na portáli podpory a na našom blogu budeme naďalej poskytovať priebežné, úplné verejné aktualizácie.
Tiež odporúčame, aby organizácie zabezpečili komunikáciu so zástupcami CrowdStrike prostredníctvom oficiálnych kanálov.
Náš tím je plne pripravený zaistiť bezpečnosť a stabilitu zákazníkov CrowdStrike.
Chápeme vážnosť situácie a hlboko sa ospravedlňujeme za nepríjemnosti a rušenie. Pracujeme so všetkými dotknutými zákazníkmi, aby sme zabezpečili, že systémy budú opäť v prevádzke a budú schopné poskytovať služby, na ktoré sa ich zákazníci spoliehajú.
Uisťujeme našich zákazníkov, že CrowdStrike funguje normálne a že tento problém neovplyvňuje naše systémy platformy Falcon. Ak vaše systémy fungujú normálne, nebude to mať žiadny vplyv na ich ochranu, ak je nainštalovaný senzor Falcon.
Nižšie je uvedené najnovšie technické upozornenie od CrowdStrike s ďalšími informáciami o probléme a krokoch riešenia, ktoré môžu organizácie podniknúť. Budeme pokračovať v poskytovaní aktualizácií našej komunite a priemyslu, keď budú k dispozícii.
zhrnutie
- CrowdStrike vie o správach o zlyhaniach hostiteľov Windows súvisiacich so senzorom Falcon.
podrobnosti
- Symptómy zahŕňajú, že hostitelia zaznamenali chybu kontroly chýb/modrej obrazovky súvisiacej so senzorom Falcon.
- Neovplyvnení hostitelia systému Windows nevyžadujú žiadnu akciu, pretože problematický súbor kanála bol obnovený.
- Hostitelia Windows, ktorí sa pripájajú na internet po 0527 UTC, tiež nebudú ovplyvnení
- Tento problém neovplyvňuje hostiteľov so systémom Mac alebo Linux
- Kanálový súbor „C-00000291*.sys“ s časovou značkou 0527 UTC alebo novšou je vrátená (dobrá) verzia.
- Verzia s problémom je súbor kanála „C-00000291*.sys“ s časovým označením 0409 UTC.
- Poznámka: Je normálne mať viacero súborov „C-00000291*.sys“ v adresári CrowdStrike – pokiaľ Jeden Ak má súbor v priečinku časovú značku 0527 UTC alebo novšiu, bude to aktívny obsah.
Aktuálna akcia
- CrowdStrike Engineering dokázalo identifikovať zverejnenie obsahu súvisiaceho s týmto problémom a zvrátiť tieto zmeny.
- Ak hostitelia naďalej zlyhávajú a nemôžu zostať online, aby mohli prijímať zmeny v súboroch kanála, je možné použiť kroky na riešenie nižšie.
- Uisťujeme našich zákazníkov, že CrowdStrike beží normálne a tento problém neovplyvňuje naše systémy platformy FalconAk vaše systémy fungujú normálne, nebude to mať žiadny vplyv na ich ochranu, ak je nainštalovaný senzor Falcon. Služby Falcon Complete a OverWatch nie sú týmto incidentom narušené.
Dopyt na identifikáciu ovplyvnených hostiteľov prostredníctvom rozšíreného vyhľadávania udalostí
Pozrite si tento článok databázy znalostí: Ako identifikovať hostiteľov, ktorí môžu byť ovplyvnení zlyhaním systému Windows (súbor pdf) alebo Ak chcete zobraziť portál podpory, prihláste sa.
Dashboard
Podobne ako v prípade vyššie uvedeného dopytu je teraz k dispozícii informačný panel, ktorý zobrazuje ovplyvnené kanály, ID zákazníkov a dotknuté senzory. V závislosti od vašich odberov je k dispozícii v ponuke konzoly buď:
- Next Generation SIEM > Dashboard or;
- Vyšetrovanie > Panely
- Má názov: hosts_posssible_impacted_by_windows_crashes
Poznámka: Dashboard nemožno použiť s tlačidlom Live
Články automatického obnovenia:
Prečítajte si tento článok: Automatické obnovenie z modrej obrazovky v inštanciách systému Windows v GCP (pdf) alebo Ak chcete zobraziť portál podpory, prihláste sa.
Kroky na obídenie pre jednotlivých hostiteľov:
- Reštartujte hostiteľský počítač, aby mal možnosť stiahnuť súbor spätného kanála. Dôrazne odporúčame umiestniť hostiteľské zariadenie do káblovej siete (namiesto WiFi) pred reštartovaním, pretože hostiteľské zariadenie bude môcť rýchlejšie získať internetové pripojenie cez Ethernet.
- Ak hostiteľ znova spadne, potom:
- Spustite systém Windows do núdzového režimu alebo prostredia na obnovenie systému Windows
- Poznámka: Umiestnenie hostiteľa na káblovú sieť (na rozdiel od WiFi) a používanie núdzového režimu so sieťou môže pomôcť vyriešiť problém.
- Prejdite do adresára %WINDIR%\System32\drivers\CrowdStrike
- Windows Recovery je predvolene X:\windows\system32
- Najprv prejdite na príslušný oddiel (predvolené je C:\) a prejdite do adresára crowdstrike:
- A:
- cd windows\system32\drivers\crowdstrike
- Poznámka: Vo WinRE/WinPE prejdite do adresára Windows\System32\drivers\CrowdStrike v priečinku operačného systému
- Vyberte súbor zodpovedajúci „C-00000291*.sys“ a odstráňte ho.
- č Odstráňte alebo zmeňte akékoľvek iné súbory alebo priečinky
- Studený štart hostiteľa
- Vypnúť hostiteľa.
- Spustite hostiteľa zo zastaveného stavu.
Poznámka: Hostitelia šifrovaní pomocou nástroja BitLocker môžu vyžadovať kľúč na obnovenie.
Kroky na obídenie verejného cloudu alebo podobného prostredia vrátane virtualizácie:
Možnosť 1:
- Odpojte diskový zväzok operačného systému od ovplyvneného virtuálneho servera
- Pred pokračovaním vytvorte snímku alebo zálohu diskového zväzku ako preventívne opatrenie proti neúmyselným zmenám
- Pripojte/pripojte zväzok k novému virtuálnemu serveru
- Prejdite do adresára %WINDIR%\System32\drivers\CrowdStrike
- Vyberte súbor zodpovedajúci „C-00000291*.sys“ a odstráňte ho.
- Odpojenie zväzku od nového virtuálneho servera
- Znova pripojte trvalý zväzok k ovplyvnenému virtuálnemu serveru
Možnosť 2:
- Vráťte sa na snímku pred 0409 UTC.
Dokumentácia AWS:
Prostredia Azure:
Kľúč na obnovenie prístupu používateľa na portáli Workspace ONE
Keď je toto nastavenie povolené, používatelia môžu získať svoj kľúč na obnovenie nástroja BitLocker z portálu Workspace ONE bez toho, aby museli kontaktovať Centrum pomoci so žiadosťou o pomoc. Ak chcete zapnúť kľúč na obnovenie na portáli Workspace ONE, postupujte podľa týchto krokov. Pozrite si toto Článok Omnisa Pre viac informácií.
Spravujte šifrovanie Windows cez Tanium
Obnova bitlockera cez Citrix
aktualizovaťSprievodca opravami technológie Intel vPro®
Znalostná báza obnovy BitLocker:
Dodatočné zdroje:
„Študent. Nadšenec kávy. Badateľ priateľský k hipsterom. Zlý podnikateľ. Extrémny internetový fanatik.“