Zaktualizowano 21:13 ET, 19 lipca 2024 r
CrowdStrike aktywnie współpracuje z klientami dotkniętymi luką wykrytą w pojedynczej aktualizacji zawartości dla hostów z systemem Windows. Nie ma to wpływu na hosty Mac i Linux. To nie jest cyberatak.
Problem jest identyfikowany, izolowany i stosowana jest poprawka. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal udostępniać pełne i ciągłe aktualizacje publiczne na naszym blogu.
Ponadto zalecamy, aby organizacje upewniły się, że komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.
Nasz zespół jest w pełni zmobilizowany, aby zapewnić bezpieczeństwo i stabilność klientom CrowdStrike.
Rozumiemy powagę sytuacji i głęboko żałujemy niedogodności i zakłóceń. Współpracujemy ze wszystkimi klientami, których to dotyczy, aby zapewnić tworzenie kopii zapasowych systemów i zapewnianie przez nich usług, którym klienci ufają.
Zapewniamy naszych klientów, że CrowdStrike działa normalnie i że ten problem nie będzie miał wpływu na nasze systemy platformy Falcon. Jeśli Twoje komputery działają normalnie i zainstalowany jest Falcon Sensor, ich bezpieczeństwo nie jest zagrożone.
Poniżej znajduje się najnowszy alert techniczny CrowdStrike, więcej informacji o problemie i działaniach zaradczych, jakie mogą podjąć organizacje. Będziemy nadal dostarczać aktualizacje naszej społeczności i branży, gdy tylko będą dostępne.
Streszczenie
- CrowdStrike jest świadomy raportów o awariach na hostach Windows związanych z czujnikiem Falcon.
Detale
- Objawy hostów, na których występuje błąd związany z czujnikiem Falcon Sensor Check\Błąd niebieskiego ekranu, obejmują:
- Ponieważ plik kanału powodującego problem został zmodyfikowany, w przypadku hostów z systemem Windows, których nie dotyczy problem, nie jest wymagane żadne działanie.
- Nie ma to również wpływu na hosty systemu Windows włączone do trybu online po godzinie 05:27 UTC
- Ten problem nie dotyczy hostów z systemem Mac lub Linux
- Zwrócono plik kanału „C-00000291*.sys” ze znacznikiem czasu 0527 UTC lub nowszą (dobrą) wersją.
- Problematyczną wersją jest plik kanału „C-00000291*.sys” ze znacznikiem czasu 0409 UTC.
- Uwaga: posiadanie wielu plików „C-00000291*.sys w katalogu CrowdStrike jest normalnym zjawiskiem – jeśli jeden z plików w folderze ma sygnaturę czasową 0527 UTC lub późniejszą, jest to zawartość aktywna.
Bieżąca akcja
- Inżynieria CrowdStrike zidentyfikowała wdrożenie zawartości powiązane z tym problemem i wdrożyła te zmiany.
- Jeśli hosty nadal nie działają i nie mogą być online, aby odebrać zmiany w plikach kanałów, możesz skorzystać z poniższych kroków rozwiązania.
- Jesteśmy oddani naszym klientom CrowdStrike działa normalnie i ten problem nie wpływa na nasze systemy platformy Falcon. Jeśli Twoje komputery działają normalnie i zainstalowany jest Falcon Sensor, ich bezpieczeństwo nie jest zagrożone. Incydent nie miał wpływu na usługi Falcon Complete i Falcon OverWatch.
Zapytanie identyfikujące zainfekowane hosty za pomocą zaawansowanego wyszukiwania zdarzeń
Proszę zapoznać się z tym artykułem KB: Jak rozpoznać hosty podatne na awarie systemu Windows (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.
Artykuły dotyczące automatycznego odzyskiwania:
Zobacz ten artykuł: Automatyczne odzyskiwanie po niebieskim ekranie w instancjach Windows na GCP (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.
Kroki rozwiązania dla poszczególnych hostów:
- Uruchom ponownie hosta, aby dać mu szansę na pobranie zmodyfikowanego pliku kanału. Zdecydowanie zalecamy podłączenie hosta do sieci przewodowej (w przeciwieństwie do Wi-Fi) przed ponownym uruchomieniem, ponieważ host uzyska połączenie internetowe znacznie szybciej przez Ethernet.
- Jeśli host ponownie ulegnie awarii, wówczas:
- Uruchom system Windows w trybie awaryjnym lub w środowisku odzyskiwania systemu Windows
- Uwaga: umieszczenie hosta w sieci przewodowej (w przeciwieństwie do Wi-Fi) i użycie trybu awaryjnego z obsługą sieci może pomóc w rozwiązywaniu problemów.
- Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
- Uwaga: w środowisku WinRE/WinPE przejdź do katalogu Windows\System32\drivers\CrowdStrike woluminu systemu operacyjnego
- Znajdź plik pasujący do „C-00000291*.sys” i usuń go.
- Uruchom hosta normalnie.
- Uwaga: hosty zaszyfrowane funkcją BitLocker mogą wymagać klucza odzyskiwania.
Kroki rozwiązania dla chmury publicznej lub podobnego środowiska, w tym wirtualnego:
Opcja 1:
- Odłącz wolumin dysku systemu operacyjnego od serwera wirtualnego, którego dotyczy problem
- Przed kontynuowaniem utwórz migawkę lub kopię zapasową woluminu dysku, aby zapobiec niezamierzonym zmianom.
- Dołącz/zamontuj moduł na nowym serwerze wirtualnym
- Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
- Znajdź plik pasujący do „C-00000291*.sys” i usuń go.
- Odłącz wolumen od nowego serwera wirtualnego
- Podłącz ponownie stały wolumin do serwera wirtualnego, którego dotyczy problem
Opcja 2:
- Wróć do migawki sprzed 04:09 UTC.
Dokumentacja specyficzna dla AWS:
Niebieskie środowiska:
Dostęp użytkownika do klucza odzyskiwania w portalu w pracy
Po włączeniu tego ustawienia użytkownicy mogą pobrać klucz odzyskiwania funkcji BitLocker z portalu Workplace ONE bez konieczności kontaktowania się z działem pomocy technicznej. Wykonaj kolejne kroki, aby włączyć klucz odzyskiwania w portalu Workspace ONE. Proszę to zobaczyć Esej Omnisy Po więcej informacji.
Zarządzanie szyfrowaniem systemu Windows za pośrednictwem Tanium
Odzyskiwanie funkcji BitLocker za pośrednictwem Citrix
KB związane z odzyskiwaniem funkcji BitLocker:
Dodatkowe zasoby:
„Totalna praktyka zombie. Nieprzepraszający analityk. Webman. Typowy fanatyk piwa. Introwertyk. Pisarz”.