Atualizado em 19 de julho de 2024, às 21h13 horário do leste dos EUA
A CrowdStrike está trabalhando ativamente com clientes afetados por uma falha encontrada em uma única atualização de conteúdo para hosts Windows. Os hosts Mac e Linux não são afetados. Este não foi um ataque cibernético.
O problema foi identificado, isolado e uma correção implantada. Direcionamos nossos clientes ao nosso portal de suporte para obter as atualizações mais recentes e continuaremos a fornecer atualizações públicas completas e contínuas em nosso blog.
Além disso, incentivamos as organizações a garantir que se comuniquem com o pessoal da CrowdStrike através de canais oficiais.
Nossa equipe está totalmente mobilizada para garantir a segurança e estabilidade dos clientes CrowdStrike.
Compreendemos a gravidade da situação e pedimos desculpas profundamente pelo transtorno e transtorno. Estamos trabalhando com todos os clientes afetados para garantir que seus sistemas tenham backup e forneçam o serviço que esperam.
Garantimos aos nossos clientes que o CrowdStrike está funcionando corretamente e que esse problema não afeta nossos sistemas da plataforma Falcon. Se o sistema estiver operando normalmente, a instalação de um sensor Falcon não afetará a proteção.
Abaixo está o Alerta Técnico CrowdStrike mais recente com informações detalhadas sobre o problema e as soluções alternativas que as organizações podem adotar. Continuaremos a fornecer à nossa comunidade e indústria as informações mais recentes assim que estiverem disponíveis.
resumo
detalhe
- Os sintomas incluem o host enfrentando um erro de verificação de bug/tela azul relacionado ao sensor Falcon.
- Em hosts Windows não afetados, nenhuma ação é necessária, pois os arquivos de canal problemáticos foram revertidos.
- Os hosts do Windows que ficaram online após 0527 UTC também não serão afetados.
- Esse problema não afeta hosts baseados em Mac ou Linux.
- Arquivos de canal “C-00000291*.sys” com carimbos de data e hora após 0527 UTC são versões revertidas (boas).
- A versão problemática do arquivo de canal “C-00000291*.sys” tem um carimbo de data/hora de 0409 UTC.
- Nota: É normal ter vários arquivos “C-00000291*.sys” no diretório CrowdStrike. Um Os arquivos na pasta têm carimbos de data/hora após 0527 UTC e são conteúdo ativo.
ação atual
- A CrowdStrike Engineering identificou implantações de conteúdo relacionadas a esse problema e reverteu essas alterações.
- Se o host continuar travando e não puder permanecer on-line para receber alterações no arquivo do canal, você poderá usar as etapas de solução alternativa abaixo.
- Garantimos aos nossos clientes: CrowdStrike está operando normalmente e esse problema não afeta os sistemas da plataforma Falcon.. Se o sistema estiver operando normalmente, a instalação de um sensor Falcon não afetará a proteção. Os serviços Falcon Complete e OverWatch não são interrompidos por este incidente.
Consulta para identificar hosts afetados por meio de pesquisa avançada de eventos
Consulte este artigo da base de conhecimento: Como identificar hosts que podem ser afetados por uma falha do Windows (PDF) ou faça login no portal de suporte para visualizá-lo.
Painel
Semelhante à consulta mencionada acima, agora está disponível um painel mostrando canais afetados, CIDs e sensores afetados. Dependendo da sua assinatura, ela estará disponível em um dos seguintes menus do console:
- SIEM de próxima geração > Painel ou;
- Investigação > Painel
- Nome: hosts_possivelmente_impacted_by_windows_crashes
Observação: os painéis não estão disponíveis com o botão Ao vivo.
Artigos sobre recuperação automática:
Consulte este artigo: Recuperação automática de tela azul para instâncias do Windows no Google Cloud (pdf) ou faça login no portal de suporte para visualizá-lo.
Etapas de solução alternativa para hosts individuais:
- Reinicie o host para ter a chance de baixar o arquivo do canal revertido. É altamente recomendável que você conecte o host a uma rede com fio (em vez de WiFi) antes de reinicializar, pois o host pode obter uma conexão com a Internet muito rapidamente pela Ethernet.
- Se o host travar novamente:
- Inicie o Windows no modo de segurança ou no ambiente de recuperação do Windows.
- Nota: Conectar o host a uma rede com fio (não WiFi) e usar o Modo de Segurança com Rede pode ajudar no reparo.
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike.
- O padrão de recuperação do Windows é X:\windows\system32
- Primeiro, navegue até a partição apropriada (o padrão é C:\) e depois navegue até o diretório CrowdStrike.
- mulher:
- cd windows\system32\drivers\crowdstrike
- Nota: Para WinRE/WinPE, navegue até o diretório Windows\System32\drivers\CrowdStrike no volume do sistema operacional.
- Encontre o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- pare com isso Exclua ou altere outros arquivos e pastas
- inicialização a frio do host
- Desligue o host.
- Inicialize o host de um estado desligado.
Nota: Os hosts criptografados pelo BitLocker podem exigir uma chave de recuperação.
Etapas de solução alternativa para nuvem pública ou ambientes semelhantes, incluindo virtuais:
Opção 1:
- Desconecte o volume do disco do sistema operacional do servidor virtual afetado.
- Como precaução contra alterações não intencionais, faça um instantâneo ou backup do volume do disco antes de continuar.
- Anexe/monte o volume ao novo servidor virtual
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike.
- Encontre o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Desconecte o volume do novo servidor virtual
- Reconecte o volume fixado ao servidor virtual afetado.
Opção 2:
- Reverta para um instantâneo antes de 0409 UTC.
Documentação específica da AWS:
Ambiente Azure:
Chave de recuperação de acesso de usuário do Workspace ONE Portal
Habilitar essa configuração permite que os usuários recuperem chaves de recuperação do BitLocker do portal do Workspace ONE sem entrar em contato com o suporte técnico. Siga estas etapas para ativar sua chave de recuperação no portal do Workspace ONE. Consulte este artigo Omnissa para obter mais informações.
