Raport dotyczący aktualizacji zawartości Falcon dla hostów z systemem Windows

Zaktualizowano 21:13 ET, 19 lipca 2024 r

CrowdStrike aktywnie współpracuje z klientami dotkniętymi luką wykrytą w pojedynczej aktualizacji zawartości dla hostów z systemem Windows. Nie ma to wpływu na hosty Mac i Linux. To nie jest cyberatak.

Problem jest identyfikowany, izolowany i stosowana jest poprawka. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal udostępniać pełne i ciągłe aktualizacje publiczne na naszym blogu.

Ponadto zalecamy, aby organizacje upewniły się, że komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.

Nasz zespół jest w pełni zmobilizowany, aby zapewnić bezpieczeństwo i stabilność klientom CrowdStrike.

Rozumiemy powagę sytuacji i głęboko żałujemy niedogodności i zakłóceń. Współpracujemy ze wszystkimi klientami, których to dotyczy, aby zapewnić tworzenie kopii zapasowych systemów i zapewnianie przez nich usług, którym klienci ufają.

Zapewniamy naszych klientów, że CrowdStrike działa normalnie i że ten problem nie będzie miał wpływu na nasze systemy platformy Falcon. Jeśli Twoje komputery działają normalnie i zainstalowany jest Falcon Sensor, ich bezpieczeństwo nie jest zagrożone.

Poniżej znajduje się najnowszy alert techniczny CrowdStrike, więcej informacji o problemie i działaniach zaradczych, jakie mogą podjąć organizacje. Będziemy nadal dostarczać aktualizacje naszej społeczności i branży, gdy tylko będą dostępne.

Streszczenie

  • CrowdStrike jest świadomy raportów o awariach na hostach Windows związanych z czujnikiem Falcon.

Detale

  • Objawy hostów, na których występuje błąd związany z czujnikiem Falcon Sensor Check\Błąd niebieskiego ekranu, obejmują:
  • Ponieważ plik kanału powodującego problem został zmodyfikowany, w przypadku hostów z systemem Windows, których nie dotyczy problem, nie jest wymagane żadne działanie.
  • Nie ma to również wpływu na hosty systemu Windows włączone do trybu online po godzinie 05:27 UTC
  • Ten problem nie dotyczy hostów z systemem Mac lub Linux
  • Zwrócono plik kanału „C-00000291*.sys” ze znacznikiem czasu 0527 UTC lub nowszą (dobrą) wersją.
  • Problematyczną wersją jest plik kanału „C-00000291*.sys” ze znacznikiem czasu 0409 UTC.
    • Uwaga: posiadanie wielu plików „C-00000291*.sys w katalogu CrowdStrike jest normalnym zjawiskiem – jeśli jeden z plików w folderze ma sygnaturę czasową 0527 UTC lub późniejszą, jest to zawartość aktywna.
READ  Nie oceniaj zestawu słuchawkowego VR firmy Apple zbyt wcześnie

Bieżąca akcja

  • Inżynieria CrowdStrike zidentyfikowała wdrożenie zawartości powiązane z tym problemem i wdrożyła te zmiany.
  • Jeśli hosty nadal nie działają i nie mogą być online, aby odebrać zmiany w plikach kanałów, możesz skorzystać z poniższych kroków rozwiązania.
  • Jesteśmy oddani naszym klientom CrowdStrike działa normalnie i ten problem nie wpływa na nasze systemy platformy Falcon. Jeśli Twoje komputery działają normalnie i zainstalowany jest Falcon Sensor, ich bezpieczeństwo nie jest zagrożone. Incydent nie miał wpływu na usługi Falcon Complete i Falcon OverWatch.

Zapytanie identyfikujące zainfekowane hosty za pomocą zaawansowanego wyszukiwania zdarzeń

Proszę zapoznać się z tym artykułem KB: Jak rozpoznać hosty podatne na awarie systemu Windows (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.

Artykuły dotyczące automatycznego odzyskiwania:

Zobacz ten artykuł: Automatyczne odzyskiwanie po niebieskim ekranie w instancjach Windows na GCP (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.

Kroki rozwiązania dla poszczególnych hostów:

  • Uruchom ponownie hosta, aby dać mu szansę na pobranie zmodyfikowanego pliku kanału. Zdecydowanie zalecamy podłączenie hosta do sieci przewodowej (w przeciwieństwie do Wi-Fi) przed ponownym uruchomieniem, ponieważ host uzyska połączenie internetowe znacznie szybciej przez Ethernet.
  • Jeśli host ponownie ulegnie awarii, wówczas:
    • Uruchom system Windows w trybie awaryjnym lub w środowisku odzyskiwania systemu Windows
      • Uwaga: umieszczenie hosta w sieci przewodowej (w przeciwieństwie do Wi-Fi) i użycie trybu awaryjnego z obsługą sieci może pomóc w rozwiązywaniu problemów.
    • Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
      • Uwaga: w środowisku WinRE/WinPE przejdź do katalogu Windows\System32\drivers\CrowdStrike woluminu systemu operacyjnego
    • Znajdź plik pasujący do „C-00000291*.sys” i usuń go.
    • Uruchom hosta normalnie.
    • Uwaga: hosty zaszyfrowane funkcją BitLocker mogą wymagać klucza odzyskiwania.

Kroki rozwiązania dla chmury publicznej lub podobnego środowiska, w tym wirtualnego:

Opcja 1:

  • Odłącz wolumin dysku systemu operacyjnego od serwera wirtualnego, którego dotyczy problem
  • Przed kontynuowaniem utwórz migawkę lub kopię zapasową woluminu dysku, aby zapobiec niezamierzonym zmianom.
  • Dołącz/zamontuj moduł na nowym serwerze wirtualnym
  • Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
  • Znajdź plik pasujący do „C-00000291*.sys” i usuń go.
  • Odłącz wolumen od nowego serwera wirtualnego
  • Podłącz ponownie stały wolumin do serwera wirtualnego, którego dotyczy problem
READ  GOP z Oklahomy głosował za złagodzeniem polityki Lankford w związku z rozmowami granicznymi w Senacie

Opcja 2:

  • Wróć do migawki sprzed 04:09 UTC.

Dokumentacja specyficzna dla AWS:

Niebieskie środowiska:

Dostęp użytkownika do klucza odzyskiwania w portalu w pracy

Po włączeniu tego ustawienia użytkownicy mogą pobrać klucz odzyskiwania funkcji BitLocker z portalu Workplace ONE bez konieczności kontaktowania się z działem pomocy technicznej. Wykonaj kolejne kroki, aby włączyć klucz odzyskiwania w portalu Workspace ONE. Proszę to zobaczyć Esej Omnisy Po więcej informacji.

Zarządzanie szyfrowaniem systemu Windows za pośrednictwem Tanium

Odzyskiwanie funkcji BitLocker za pośrednictwem Citrix

KB związane z odzyskiwaniem funkcji BitLocker:

Dodatkowe zasoby:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *