Raport dotyczący aktualizacji zawartości Falcon dla hostów z systemem Windows

Zaktualizowano 21:13 ET, 19 lipca 2024 r

CrowdStrike aktywnie współpracuje z klientami dotkniętymi luką wykrytą w pojedynczej aktualizacji zawartości dla hostów z systemem Windows. Nie ma to wpływu na hosty Mac i Linux. To nie jest cyberatak.

Problem jest identyfikowany, izolowany i stosowana jest poprawka. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal udostępniać pełne i ciągłe aktualizacje publiczne na naszym blogu.

Ponadto zalecamy, aby organizacje upewniły się, że komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.

Nasz zespół jest w pełni zmobilizowany, aby zapewnić bezpieczeństwo i stabilność klientom CrowdStrike.

Rozumiemy powagę sytuacji i głęboko żałujemy niedogodności i zakłóceń. Współpracujemy ze wszystkimi klientami, których to dotyczy, aby zapewnić tworzenie kopii zapasowych systemów i zapewnianie przez nich usług, którym klienci ufają.

Zapewniamy naszych klientów, że CrowdStrike działa normalnie i że ten problem nie będzie miał wpływu na nasze systemy platformy Falcon. Jeśli Twoje komputery działają normalnie i zainstalowany jest Falcon Sensor, ich bezpieczeństwo nie jest zagrożone.

Poniżej znajduje się najnowszy alert techniczny CrowdStrike, więcej informacji o problemie i działaniach zaradczych, jakie mogą podjąć organizacje. Będziemy nadal dostarczać aktualizacje naszej społeczności i branży, gdy tylko będą dostępne.

Streszczenie

CrowdStrike jest świadomy raportów o awariach na hostach Windows związanych z czujnikiem Falcon.

Detale

Objawy hostów, na których występuje błąd związany z czujnikiem Falcon Sensor Check\Błąd niebieskiego ekranu, obejmują:
Ponieważ plik kanału powodującego problem został zmodyfikowany, w przypadku hostów z systemem Windows, których nie dotyczy problem, nie jest wymagane żadne działanie.
Nie ma to również wpływu na hosty systemu Windows włączone do trybu online po godzinie 05:27 UTC
Ten problem nie dotyczy hostów z systemem Mac lub Linux
Zwrócono plik kanału „C-00000291*.sys” ze znacznikiem czasu 0527 UTC lub nowszą (dobrą) wersją.
Problematyczną wersją jest plik kanału „C-00000291*.sys” ze znacznikiem czasu 0409 UTC.

Uwaga: posiadanie wielu plików „C-00000291*.sys w katalogu CrowdStrike jest normalnym zjawiskiem – jeśli jeden z plików w folderze ma sygnaturę czasową 0527 UTC lub późniejszą, jest to zawartość aktywna.

READ Darren Waller ujawnił swoje doświadczenia bliskie śmierci w zeszłym sezonie w filmie dotyczącym przejścia na emeryturę

Bieżąca akcja

Inżynieria CrowdStrike zidentyfikowała wdrożenie zawartości powiązane z tym problemem i wdrożyła te zmiany.
Jeśli hosty nadal nie działają i nie mogą być online, aby odebrać zmiany w plikach kanałów, możesz skorzystać z poniższych kroków rozwiązania.
Jesteśmy oddani naszym klientom CrowdStrike działa normalnie i ten problem nie wpływa na nasze systemy platformy Falcon. Jeśli Twoje komputery działają normalnie i zainstalowany jest Falcon Sensor, ich bezpieczeństwo nie jest zagrożone. Incydent nie miał wpływu na usługi Falcon Complete i Falcon OverWatch.

Zapytanie identyfikujące zainfekowane hosty za pomocą zaawansowanego wyszukiwania zdarzeń

Proszę zapoznać się z tym artykułem KB: Jak rozpoznać hosty podatne na awarie systemu Windows (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.

Artykuły dotyczące automatycznego odzyskiwania:

Zobacz ten artykuł: Automatyczne odzyskiwanie po niebieskim ekranie w instancjach Windows na GCP (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.

Kroki rozwiązania dla poszczególnych hostów:

Uruchom ponownie hosta, aby dać mu szansę na pobranie zmodyfikowanego pliku kanału. Zdecydowanie zalecamy podłączenie hosta do sieci przewodowej (w przeciwieństwie do Wi-Fi) przed ponownym uruchomieniem, ponieważ host uzyska połączenie internetowe znacznie szybciej przez Ethernet.
Jeśli host ponownie ulegnie awarii, wówczas:

Uruchom system Windows w trybie awaryjnym lub w środowisku odzyskiwania systemu Windows

Uwaga: umieszczenie hosta w sieci przewodowej (w przeciwieństwie do Wi-Fi) i użycie trybu awaryjnego z obsługą sieci może pomóc w rozwiązywaniu problemów.

Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike

Uwaga: w środowisku WinRE/WinPE przejdź do katalogu Windows\System32\drivers\CrowdStrike woluminu systemu operacyjnego

Znajdź plik pasujący do „C-00000291*.sys” i usuń go.
Uruchom hosta normalnie.
Uwaga: hosty zaszyfrowane funkcją BitLocker mogą wymagać klucza odzyskiwania.

Kroki rozwiązania dla chmury publicznej lub podobnego środowiska, w tym wirtualnego:

Opcja 1:

Odłącz wolumin dysku systemu operacyjnego od serwera wirtualnego, którego dotyczy problem
Przed kontynuowaniem utwórz migawkę lub kopię zapasową woluminu dysku, aby zapobiec niezamierzonym zmianom.
Dołącz/zamontuj moduł na nowym serwerze wirtualnym
Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
Znajdź plik pasujący do „C-00000291*.sys” i usuń go.
Odłącz wolumen od nowego serwera wirtualnego
Podłącz ponownie stały wolumin do serwera wirtualnego, którego dotyczy problem

READ Nasdaq skacze, gdy Nvidia skręca za róg

Opcja 2:

Wróć do migawki sprzed 04:09 UTC.

Dokumentacja specyficzna dla AWS:

Niebieskie środowiska:

Dostęp użytkownika do klucza odzyskiwania w portalu w pracy

Po włączeniu tego ustawienia użytkownicy mogą pobrać klucz odzyskiwania funkcji BitLocker z portalu Workplace ONE bez konieczności kontaktowania się z działem pomocy technicznej. Wykonaj kolejne kroki, aby włączyć klucz odzyskiwania w portalu Workspace ONE. Proszę to zobaczyć Esej Omnisy Po więcej informacji.

Zarządzanie szyfrowaniem systemu Windows za pośrednictwem Tanium

Odzyskiwanie funkcji BitLocker za pośrednictwem Citrix

KB związane z odzyskiwaniem funkcji BitLocker:

Dodatkowe zasoby:

Arzu

„Totalna praktyka zombie. Nieprzepraszający analityk. Webman. Typowy fanatyk piwa. Introwertyk. Pisarz”.