Ενημερώθηκε στις 9:13 μ.μ. ET, 19 Ιουλίου 2024
Το CrowdStrike συνεργάζεται ενεργά με πελάτες που επηρεάζονται από ένα ελάττωμα που ανακαλύφθηκε σε μια ενημερωμένη έκδοση περιεχομένου για κεντρικούς υπολογιστές των Windows. Οι κεντρικοί υπολογιστές Mac και Linux δεν επηρεάζονται. Δεν επρόκειτο για κυβερνοεπίθεση.
Το πρόβλημα έχει εντοπιστεί, απομονωθεί και έχει αναπτυχθεί μια λύση. Παραπέμπουμε τους πελάτες στην πύλη υποστήριξης για τις πιο πρόσφατες ενημερώσεις και θα συνεχίσουμε να παρέχουμε συνεχείς, πλήρεις δημόσιες ενημερώσεις στο ιστολόγιό μας.
Συνιστούμε επίσης στους οργανισμούς να διασφαλίζουν ότι επικοινωνούν με τους εκπροσώπους του CrowdStrike μέσω επίσημων καναλιών.
Η ομάδα μας είναι πλήρως προετοιμασμένη να διασφαλίσει την ασφάλεια και τη σταθερότητα των πελατών του CrowdStrike.
Κατανοούμε τη σοβαρότητα της κατάστασης και ζητάμε βαθιά συγγνώμη για την ταλαιπωρία και την αναστάτωση. Συνεργαζόμαστε με όλους τους πελάτες που επηρεάζονται για να διασφαλίσουμε ότι τα συστήματα είναι εφεδρικά και λειτουργούν και είναι σε θέση να παρέχουν τις υπηρεσίες στις οποίες βασίζονται οι πελάτες τους.
Διαβεβαιώνουμε τους πελάτες μας ότι το CrowdStrike λειτουργεί κανονικά και ότι αυτό το ζήτημα δεν επηρεάζει τα συστήματα πλατφόρμας Falcon μας. Εάν τα συστήματά σας λειτουργούν κανονικά, δεν θα επηρεαστεί η προστασία τους εάν τοποθετηθεί αισθητήρας Falcon.
Ακολουθεί η πιο πρόσφατη τεχνική ειδοποίηση από το CrowdStrike με περισσότερες πληροφορίες σχετικά με το πρόβλημα και τα βήματα επίλυσης που μπορούν να κάνουν οι οργανισμοί. Θα συνεχίσουμε να παρέχουμε ενημερώσεις στην κοινότητά μας και στον κλάδο μας καθώς αυτές γίνονται διαθέσιμες.
περίληψη
Λεπτομέριες
- Τα συμπτώματα περιλαμβάνουν οικοδεσπότες που αντιμετωπίζουν σφάλμα ελέγχου σφάλματος\μπλε οθόνης που σχετίζεται με τον αισθητήρα Falcon.
- Οι μη επηρεασμένοι κεντρικοί υπολογιστές των Windows δεν απαιτούν καμία ενέργεια, καθώς το προβληματικό αρχείο καναλιού έχει αποκατασταθεί.
- Οι κεντρικοί υπολογιστές των Windows που συνδέονται στο Διαδίκτυο μετά το 0527 UTC δεν θα επηρεαστούν επίσης
- Αυτό το ζήτημα δεν επηρεάζει τους κεντρικούς υπολογιστές που εκτελούν Mac ή Linux
- Το αρχείο καναλιού “C-00000291*.sys” με χρονική ετικέτα 0527 UTC ή μεταγενέστερη είναι η (καλή) έκδοση που επιστράφηκε.
- Το αρχείο καναλιού “C-00000291*.sys” με χρονική ετικέτα 0409 UTC είναι η έκδοση με το πρόβλημα.
- Σημείωση: Είναι φυσιολογικό να υπάρχουν πολλά αρχεία “C-00000291*.sys” στον κατάλογο CrowdStrike – εφόσον Ενας Εάν ένα αρχείο στο φάκελο έχει ετικέτα χρόνου 0527 UTC ή μεταγενέστερη, αυτό θα είναι το ενεργό περιεχόμενο.
Τρέχουσα δράση
- Η CrowdStrike Engineering μπόρεσε να εντοπίσει περιεχόμενο που δημοσιεύτηκε σχετικά με αυτό το ζήτημα και να αντιστρέψει αυτές τις αλλαγές.
- Εάν οι κεντρικοί υπολογιστές συνεχίζουν να καταρρέουν και δεν μπορούν να παραμείνουν στο διαδίκτυο για να λαμβάνουν αλλαγές στα αρχεία καναλιών, μπορείτε να χρησιμοποιήσετε τα παρακάτω βήματα αντιμετώπισης.
- Διαβεβαιώνουμε τους πελάτες μας ότι Το CrowdStrike εκτελείται κανονικά και αυτό το ζήτημα δεν επηρεάζει τα συστήματα πλατφόρμας Falcon μαςΕάν τα συστήματά σας λειτουργούν κανονικά, δεν θα υπάρξει καμία επίδραση στην προστασία τους εάν εγκατασταθεί αισθητήρας Falcon. Οι υπηρεσίες Falcon Complete και OverWatch δεν διακόπτονται από αυτό το συμβάν.
Ερώτημα για τον εντοπισμό των επηρεαζόμενων κεντρικών υπολογιστών μέσω σύνθετης αναζήτησης συμβάντων
Ανατρέξτε σε αυτό το άρθρο της γνωσιακής βάσης: Τρόπος αναγνώρισης κεντρικών υπολογιστών που ενδέχεται να επηρεαστούν από σφάλμα των Windows (αρχείο pdf) ή Συνδεθείτε για να δείτε την πύλη υποστήριξης.
Ταμπλό
Παρόμοια με το ερώτημα που αναφέρθηκε παραπάνω, είναι πλέον διαθέσιμος ένας πίνακας εργαλείων που εμφανίζει επηρεαζόμενα κανάλια, αναγνωριστικά πελατών και επηρεαζόμενους αισθητήρες. Ανάλογα με τις συνδρομές σας, είναι διαθέσιμο στο μενού της κονσόλας:
- Επόμενης γενιάς SIEM > Ταμπλό ή
- Έρευνα > Πίνακες ελέγχου
- Ονομάζεται ως: hosts_possibly_impacted_by_windows_crashes
Σημείωση: Ο πίνακας εργαλείων δεν μπορεί να χρησιμοποιηθεί με το κουμπί Live
Άρθρα αυτόματης ανάκτησης:
Δείτε αυτό το άρθρο: Αυτόματη ανάκτηση από μπλε οθόνη σε παρουσίες των Windows στο GCP (pdf) ή Συνδεθείτε για να δείτε την πύλη υποστήριξης.
Βήματα αντιμετώπισης για μεμονωμένους κεντρικούς υπολογιστές:
- Επανεκκινήστε τον κεντρικό υπολογιστή για να του δώσετε την ευκαιρία να πραγματοποιήσει λήψη του αρχείου καναλιού επιστροφής. Συνιστούμε ανεπιφύλακτα να τοποθετήσετε τη συσκευή υποδοχής σε ενσύρματο δίκτυο (αντί για WiFi) πριν από την επανεκκίνηση, καθώς η κεντρική συσκευή θα μπορεί να αποκτήσει σύνδεση στο διαδίκτυο πιο γρήγορα μέσω Ethernet.
- Εάν ο οικοδεσπότης πέσει ξανά, τότε:
- Εκκινήστε τα Windows σε ασφαλή λειτουργία ή περιβάλλον αποκατάστασης των Windows
- Σημείωση: Η τοποθέτηση του κεντρικού υπολογιστή σε ενσύρματο δίκτυο (σε αντίθεση με το WiFi) και η χρήση της Ασφαλούς λειτουργίας με δικτύωση μπορεί να βοηθήσει στην επίλυση του προβλήματος.
- Μεταβείτε στον κατάλογο %WINDIR%\System32\drivers\CrowdStrike
- Η προεπιλογή αποκατάστασης των Windows είναι X:\windows\system32
- Πλοηγηθείτε πρώτα στο κατάλληλο διαμέρισμα (η προεπιλογή είναι C:\) και μεταβείτε στον κατάλογο crowdstrike:
- ΕΝΑ:
- cd windows\system32\drivers\crowdstrike
- Σημείωση: Στο WinRE/WinPE, μεταβείτε στον κατάλογο Windows\System32\drivers\CrowdStrike του φακέλου του λειτουργικού συστήματος
- Επιλέξτε το αρχείο που αντιστοιχεί στο “C-00000291*.sys” και διαγράψτε το.
- όχι Διαγράψτε ή αλλάξτε οποιαδήποτε άλλα αρχεία ή φακέλους
- Κρύα μπότα ο οικοδεσπότης
- Κλείσιμο οικοδεσπότη.
- Ξεκινήστε τον κεντρικό υπολογιστή από την κατάσταση διακοπής.
Σημείωση: Οι κεντρικοί υπολογιστές που είναι κρυπτογραφημένοι με BitLocker ενδέχεται να απαιτούν κλειδί ανάκτησης.
Βήματα για να εργαστείτε γύρω από ένα δημόσιο cloud ή παρόμοιο περιβάλλον, συμπεριλαμβανομένης της εικονικοποίησης:
Επιλογή 1:
- Αποσυνδέστε τον τόμο δίσκου του λειτουργικού συστήματος από τον επηρεασμένο εικονικό διακομιστή
- Δημιουργήστε ένα στιγμιότυπο ή αντίγραφο ασφαλείας του τόμου του δίσκου πριν προχωρήσετε ως προφύλαξη από ακούσιες αλλαγές
- Σύνδεση/προσάρτηση του τόμου σε νέο εικονικό διακομιστή
- Μεταβείτε στον κατάλογο %WINDIR%\System32\drivers\CrowdStrike
- Επιλέξτε το αρχείο που αντιστοιχεί στο “C-00000291*.sys” και διαγράψτε το.
- Αποσύνδεση της έντασης από τον νέο εικονικό διακομιστή
- Συνδέστε ξανά τον μόνιμο τόμο στον επηρεασμένο εικονικό διακομιστή
Επιλογή 2:
- Επιστρέψτε σε ένα στιγμιότυπο πριν από το 0409 UTC.
Τεκμηρίωση AWS:
Azure περιβάλλοντα:
Κλειδί ανάκτησης πρόσβασης χρήστη στην πύλη Workspace ONE
Όταν αυτή η ρύθμιση είναι ενεργοποιημένη, οι χρήστες μπορούν να ανακτήσουν το κλειδί ανάκτησης BitLocker από την πύλη Workspace ONE χωρίς να χρειάζεται να επικοινωνήσουν με το Κέντρο βοήθειας για βοήθεια. Για να ενεργοποιήσετε το κλειδί ανάκτησης στην πύλη Workspace ONE, ακολουθήστε αυτά τα βήματα. Παρακαλώ δείτε αυτό Άρθρο της Omnisa Για περισσότερες πληροφορίες.
Διαχειριστείτε την κρυπτογράφηση των Windows μέσω Taniium
Ανάκτηση Bitlocker μέσω Citrix
Βάση γνώσεων ανάκτησης BitLocker:
Επιπρόσθετοι πόροι:
“Ακραίος μαθητής. Επίλυση προβλημάτων. Παθιασμένος εξερευνητής. Αθεράπευτος μελετητής twitter. Λάτρης του καφέ.”