Zaktualizowano o 21:13 ET, 19 lipca 2024 r
CrowdStrike aktywnie współpracuje z klientami, których dotyczy luka wykryta w pojedynczej aktualizacji zawartości dla hostów Windows. Nie ma to wpływu na hosty Mac i Linux. To nie był cyberatak.
Problem został zidentyfikowany, wyizolowany i wdrożono rozwiązanie. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal udostępniać ciągłe, kompletne aktualizacje publiczne na naszym blogu.
Zalecamy również, aby organizacje upewniły się, że komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.
Nasz zespół jest w pełni przygotowany, aby zapewnić bezpieczeństwo i stabilność klientom CrowdStrike.
Rozumiemy powagę sytuacji i serdecznie przepraszamy za niedogodności i zakłócenia. Współpracujemy ze wszystkimi klientami, których to dotyczy, aby zapewnić prawidłowe działanie systemów i możliwość świadczenia usług, na których polegają ich klienci.
Zapewniamy naszych klientów, że CrowdStrike działa normalnie i że ten problem nie dotyczy naszych systemów platform Falcon. Jeśli Twoje systemy działają normalnie, zamontowanie czujnika Falcon nie będzie miało wpływu na ich ochronę.
Poniżej znajduje się najnowszy alert techniczny od CrowdStrike zawierający więcej informacji na temat problemów i kroków, jakie mogą podjąć organizacje. Będziemy nadal dostarczać aktualizacje naszej społeczności i branży, gdy tylko będą dostępne.
streszczenie
Detale
- Objawy obejmują występowanie na hostach błędu sprawdzania błędów\niebieskiego ekranu związanego z czujnikiem Falcon.
- Nienaruszone hosty z systemem Windows nie wymagają żadnych działań, ponieważ problematyczny plik kanału został przywrócony.
- Hosty z systemem Windows, które łączą się z Internetem po godzinie 05:27 UTC, również nie zostaną naruszone
- Ten problem nie dotyczy hostów z systemem Mac lub Linux
- Plik kanału „C-00000291*.sys” ze znacznikiem czasowym 0527 UTC lub nowszym jest zwróconą (dobrą) wersją.
- Wersja, w której występuje problem, to plik kanału „C-00000291*.sys” ze znacznikiem czasowym 0409 UTC.
- Uwaga: posiadanie wielu plików „C-00000291*.sys” w katalogu CrowdStrike jest normalnym zjawiskiem — pod warunkiem, że Jeden Jeśli plik w folderze ma znacznik czasowy 0527 UTC lub późniejszy, będzie to zawartość aktywna.
Bieżąca akcja
- Inżynierii CrowdStrike udało się zidentyfikować publikację treści związanych z tym problemem i cofnąć te zmiany.
- Jeśli hosty nadal ulegają awariom i nie mogą pozostać w trybie online, aby otrzymać zmiany w plikach kanałów, można zastosować poniższe kroki obejścia.
- Zapewniamy o tym naszych klientów CrowdStrike działa normalnie i ten problem nie wpływa na nasze systemy platformy FalconJeśli Twoje systemy działają normalnie, zainstalowanie czujnika Falcon nie będzie miało wpływu na ich ochronę. Ten incydent nie zakłóca usług Falcon Complete i OverWatch.
Zapytanie identyfikujące hosty, których dotyczy problem, za pomocą zaawansowanego wyszukiwania zdarzeń
Zapoznaj się z tym artykułem w bazie wiedzy: Jak zidentyfikować hosty, na które może mieć wpływ awaria systemu Windows (plik pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.
Panel
Podobnie jak w przypadku zapytania wspomnianego powyżej, dostępny jest teraz pulpit nawigacyjny, który pokazuje kanały, których dotyczy problem, identyfikatory klientów i czujniki, których dotyczy problem. W zależności od subskrypcji jest ona dostępna w menu konsoli:
- SIEM nowej generacji > Pulpit nawigacyjny lub;
- Dochodzenie > Panele kontrolne
- Nazywa się: hosts_possibly_impacted_by_windows_crashes
Uwaga: Panelu nie można używać z przyciskiem Na żywo
Artykuły automatycznego odzyskiwania:
Proszę zapoznać się z tym artykułem: Automatyczne odzyskiwanie z niebieskiego ekranu w instancjach Windows w formacie GCP (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.
Kroki obejścia dla poszczególnych hostów:
- Uruchom ponownie komputer hosta, aby umożliwić mu pobranie pliku kanału zwrotnego. Zdecydowanie zalecamy podłączenie urządzenia hosta do sieci przewodowej (zamiast Wi-Fi) przed ponownym uruchomieniem, ponieważ urządzenie hosta będzie mogło szybciej uzyskać połączenie internetowe przez Ethernet.
- Jeśli host ponownie ulegnie awarii, wówczas:
- Uruchom system Windows w trybie awaryjnym lub w środowisku odzyskiwania systemu Windows
- Uwaga: umieszczenie hosta w sieci przewodowej (a nie Wi-Fi) i użycie trybu awaryjnego z obsługą sieci może pomóc w rozwiązaniu problemu.
- Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
- Odzyskiwanie systemu Windows domyślnie to X:\windows\system32
- Najpierw przejdź do odpowiedniej partycji (domyślnie jest to C:\), a następnie przejdź do katalogu crowdstrike:
- A:
- cd Windows\system32\drivers\crowdstrike
- Uwaga: w WinRE/WinPE przejdź do katalogu Windows\System32\drivers\CrowdStrike w folderze systemu operacyjnego
- Wybierz plik odpowiadający „C-00000291*.sys” i usuń go.
- NIE Usuń lub zmień inne pliki lub foldery
- Zimny rozruch hosta
- Wyłącz hosta.
- Uruchom hosta ze stanu zatrzymania.
Uwaga: hosty zaszyfrowane za pomocą funkcji BitLocker mogą wymagać klucza odzyskiwania.
Kroki pozwalające obejść chmurę publiczną lub podobne środowisko, w tym wirtualizację:
Opcja 1:
- Odłącz wolumin dysku systemu operacyjnego od serwera wirtualnego, którego dotyczy problem
- Przed kontynuowaniem utwórz migawkę lub kopię zapasową woluminu dysku, aby zapobiec niezamierzonym zmianom
- Połącz/zamontuj wolumin do nowego serwera wirtualnego
- Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
- Wybierz plik odpowiadający „C-00000291*.sys” i usuń go.
- Odłączanie wolumenu od nowego serwera wirtualnego
- Podłącz ponownie wolumin stały do serwera wirtualnego, którego dotyczy problem
Opcja 2:
- Wróć do migawki sprzed 04:09 UTC.
Dokumentacja AWS-a:
Środowiska Azure:
Klucz odzyskiwania dostępu użytkownika w portalu Workspace ONE
Gdy to ustawienie jest włączone, użytkownicy mogą odzyskać klucz odzyskiwania funkcji BitLocker z portalu Workspace ONE bez konieczności kontaktowania się z Centrum pomocy w celu uzyskania pomocy. Aby włączyć klucz odzyskiwania w portalu Workspace ONE, wykonaj poniższe kroki. Proszę to zobaczyć Artykuł w Omnisie po więcej informacji.
More Stories
Japonia: Tajfun Shanshan: Milionom ludzi nakazuje się ewakuować po tym, jak jeden z najsilniejszych tajfunów od dziesięcioleci nawiedzi Japonię
Najnowsze zatonięcie jachtu Bayesiana: żona Mike’a Lyncha „nie chciała opuszczać łodzi bez rodziny”, podczas gdy załoga przechodzi dochodzenie
Światowy Program Żywnościowy wstrzymuje swoje działania w Gazie po wielokrotnym strzelaniu do pojazdu pomocy