Atualizado às 5h39 ET, 20 de julho de 2024
A CrowdStrike está trabalhando ativamente com clientes afetados por uma falha descoberta em uma única atualização de conteúdo para hosts Windows. Os hosts Mac e Linux não são afetados. Este não foi um ataque cibernético.
O problema foi identificado, isolado e uma solução foi implantada. Indicamos aos clientes o portal de suporte para obter as atualizações mais recentes e continuaremos a fornecer atualizações públicas completas e contínuas em nosso blog.
Também recomendamos que as organizações se comuniquem com os representantes da CrowdStrike através de canais oficiais.
Nossa equipe está totalmente preparada para garantir a segurança e estabilidade dos clientes CrowdStrike.
Compreendemos a gravidade da situação e lamentamos profundamente o transtorno e a interrupção. Estamos trabalhando com todos os clientes afetados para garantir que os sistemas voltem a funcionar e sejam capazes de fornecer os serviços dos quais seus clientes confiam.
Garantimos aos nossos clientes que a CrowdStrike está operando normalmente e que esse problema não afeta nossos sistemas da plataforma Falcon. Se os seus sistemas estiverem operando normalmente, não haverá impacto na proteção deles se um sensor Falcon for instalado.
Abaixo está o alerta técnico mais recente da CrowdStrike com mais informações sobre o problema e as etapas de resolução que as organizações podem tomar. Continuaremos a fornecer atualizações para nossa comunidade e indústria assim que estiverem disponíveis.
resumo
- CrowdStrike está ciente de relatos de travamentos em hosts Windows relacionados ao sensor Falcon.
detalhes
- Os sintomas incluem hosts que apresentam um erro de verificação de bug/tela azul relacionado ao sensor Falcon.
- Os hosts Windows não afetados não requerem nenhuma ação, pois o arquivo do canal problemático foi restaurado.
- Hosts Windows que se conectam à Internet após 0527 UTC também não serão afetados
- Este problema não afeta hosts que executam Mac ou Linux
- O arquivo de canal “C-00000291*.sys” com um time tag de 0527 UTC ou posterior é a versão retornada (boa).
- O arquivo de canal “C-00000291*.sys” com uma etiqueta de tempo de 0409 UTC é a versão com o problema.
- Nota: É normal ter vários arquivos “C-00000291*.sys” no diretório CrowdStrike – desde que Um Se um arquivo na pasta tiver uma marcação de horário de 0527 UTC ou posterior, este será o conteúdo ativo.
Ação atual
- A CrowdStrike Engineering conseguiu identificar a publicação de conteúdo relacionado a esse problema e reverter essas alterações.
- Se os hosts continuarem travando e não conseguirem permanecer on-line para receber alterações nos arquivos do canal, é possível usar as etapas de solução alternativa abaixo.
- Garantimos aos nossos clientes que CrowdStrike está funcionando normalmente e esse problema não afeta nossos sistemas da plataforma FalconSe os seus sistemas estiverem operando normalmente, não haverá impacto na proteção deles se um sensor Falcon for instalado. Os serviços Falcon Complete e OverWatch não são interrompidos por este incidente.
Consulta para identificar hosts afetados por meio de pesquisa avançada de eventos
Consulte este artigo da base de conhecimento: Como identificar hosts que podem ser afetados por uma falha do Windows (arquivo pdf) ou Faça login para visualizar o portal de suporte.
Painel
Semelhante à consulta mencionada acima, agora está disponível um painel que exibe canais afetados, IDs de clientes e sensores afetados. Dependendo das suas assinaturas, ele estará disponível no menu do console:
- SIEM de próxima geração > Painel ou;
- Investigação > Painéis
- É nomeado como: hosts_possivelmente_impacted_by_windows_crashes
Nota: O painel não pode ser usado com o botão Live
Artigos de recuperação automática:
Consulte este artigo: Recuperação automática de tela azul em instâncias do Windows no GCP (pdf) ou Faça login para visualizar o portal de suporte.
Etapas de solução alternativa para hosts individuais:
- Reinicie a máquina host para ter a oportunidade de baixar o arquivo do canal de retorno. É altamente recomendável colocar o dispositivo host em uma rede com fio (em vez de WiFi) antes de reinicializar, pois o dispositivo host será capaz de obter uma conexão à Internet mais rápida via Ethernet.
- Se o host cair novamente, então:
- Inicialize o Windows no modo de segurança ou no ambiente de recuperação do Windows
- Nota: Colocar o host em uma rede com fio (em vez de WiFi) e usar o Modo de Segurança com rede pode ajudar a resolver o problema.
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
- O padrão de recuperação do Windows é X:\windows\system32
- Navegue primeiro até a partição apropriada (o padrão é C:\) e navegue até o diretório crowdstrike:
- A:
- cd windows\system32\drivers\crowdstrike
- Nota: No WinRE/WinPE, vá para o diretório Windows\System32\drivers\CrowdStrike da pasta do sistema operacional
- Selecione o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- não Exclua ou altere quaisquer outros arquivos ou pastas
- Inicialização a frio do host
- Desligue o host.
- Inicie o host do estado parado.
Nota: Os hosts criptografados com BitLocker podem exigir uma chave de recuperação.
Etapas para contornar uma nuvem pública ou ambiente semelhante, incluindo virtualização:
Opção 1:
- Desconecte o volume do disco do sistema operacional do servidor virtual afetado
- Crie um instantâneo ou backup do volume do disco antes de prosseguir, como precaução contra alterações não intencionais
- Vincule/monte o volume em um novo servidor virtual
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
- Selecione o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Desconectando o volume do novo servidor virtual
- Reconecte o volume persistente ao servidor virtual afetado
Opção 2:
- Retorne a um instantâneo antes de 0409 UTC.
Documentação da AWS:
Ambientes Azure:
Chave de recuperação de acesso do usuário no portal Workspace ONE
Quando essa configuração está habilitada, os usuários podem recuperar a chave de recuperação do BitLocker no portal do Workspace ONE sem precisar entrar em contato com a Central de Ajuda para obter assistência. Para ativar a chave de recuperação no portal do Workspace ONE, siga estas etapas. Por favor veja isso Artigo Omnisa Para maiores informações.
Gerencie a criptografia do Windows via Tanium
Recuperação de Bitlocker via Citrix
atualizarGuia de reparo da tecnologia Intel vPro®
Base de conhecimento de recuperação do BitLocker:
Recursos adicionais:
“Praticante do Twitter. Analista. Desbravador de TV sem remorso. Especialista em bacon. Fanático pela Internet.”