Oświadczenie o aktualizacji zawartości Falcon dla hostów z systemem Windows

Zaktualizowano o 21:13 ET, 19 lipca 2024 r

CrowdStrike aktywnie współpracuje z klientami, których dotyczy luka wykryta w pojedynczej aktualizacji zawartości dla hostów Windows. Nie ma to wpływu na hosty Mac i Linux. To nie był cyberatak.

Problem został zidentyfikowany, wyizolowany i wdrożono rozwiązanie. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal udostępniać ciągłe, kompletne aktualizacje publiczne na naszym blogu.

Zalecamy również, aby organizacje upewniły się, że komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.

Nasz zespół jest w pełni przygotowany, aby zapewnić bezpieczeństwo i stabilność klientom CrowdStrike.

Rozumiemy powagę sytuacji i serdecznie przepraszamy za niedogodności i zakłócenia. Współpracujemy ze wszystkimi klientami, których to dotyczy, aby zapewnić prawidłowe działanie systemów i możliwość świadczenia usług, na których polegają ich klienci.

Zapewniamy naszych klientów, że CrowdStrike działa normalnie i że ten problem nie dotyczy naszych systemów platform Falcon. Jeśli Twoje systemy działają normalnie, zamontowanie czujnika Falcon nie będzie miało wpływu na ich ochronę.

Poniżej znajduje się najnowszy alert techniczny od CrowdStrike zawierający więcej informacji na temat problemów i kroków, jakie mogą podjąć organizacje. Będziemy nadal dostarczać aktualizacje naszej społeczności i branży, gdy tylko będą dostępne.

streszczenie

Detale

• Objawy obejmują występowanie na hostach błędu sprawdzania błędów\niebieskiego ekranu związanego z czujnikiem Falcon.
• Nienaruszone hosty z systemem Windows nie wymagają żadnych działań, ponieważ problematyczny plik kanału został przywrócony.
• Nie będzie to miało wpływu na hosty z systemem Windows, które łączą się z Internetem po godzinie 05:27 UTC
• Ten problem nie dotyczy hostów z systemem Mac lub Linux
• Plik kanału „C-00000291*.sys” ze znacznikiem czasowym 0527 UTC lub nowszym jest zwróconą (dobrą) wersją.
• Wersja, w której występuje problem, to plik kanału „C-00000291*.sys” ze znacznikiem czasowym 0409 UTC.
• Uwaga: posiadanie wielu plików „C-00000291*.sys” w katalogu CrowdStrike jest normalnym zjawiskiem — pod warunkiem, że Jeden Jeśli plik w folderze ma znacznik czasowy 0527 UTC lub późniejszy, będzie to zawartość aktywna.

Bieżąca akcja

• Inżynierii CrowdStrike udało się zidentyfikować publikację treści związanych z tym problemem i cofnąć te zmiany.
• Jeśli hosty nadal ulegają awariom i nie mogą pozostać w trybie online, aby otrzymać zmiany w plikach kanałów, można zastosować poniższe kroki obejścia.
• Zapewniamy o tym naszych klientów CrowdStrike działa normalnie i ten problem nie wpływa na nasze systemy platformy FalconJeśli Twoje systemy działają normalnie, zainstalowanie czujnika Falcon nie będzie miało wpływu na ich ochronę. Ten incydent nie zakłóca usług Falcon Complete i OverWatch.

Zapytanie identyfikujące hosty, których dotyczy problem, za pomocą zaawansowanego wyszukiwania zdarzeń

Zapoznaj się z tym artykułem w bazie wiedzy: Jak zidentyfikować hosty, na które może mieć wpływ awaria systemu Windows (plik pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.

Panel

Podobnie jak w przypadku zapytania wspomnianego powyżej, dostępny jest teraz pulpit nawigacyjny wyświetlający kanały, których dotyczy problem, identyfikatory klientów i czujniki, których dotyczy problem. W zależności od subskrypcji jest ona dostępna w menu konsoli:

• SIEM nowej generacji > Pulpit nawigacyjny lub;
• Dochodzenie > Panele kontrolne
• Nazywa się: hosts_possibly_impacted_by_windows_crashes

Uwaga: Panelu nie można używać z przyciskiem Na żywo

Artykuły automatycznego odzyskiwania:

Proszę zapoznać się z tym artykułem: Automatyczne odzyskiwanie z niebieskiego ekranu w instancjach Windows w formacie GCP (pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.

Kroki obejścia dla poszczególnych hostów:

• Uruchom ponownie komputer hosta, aby umożliwić mu pobranie pliku kanału zwrotnego. Zdecydowanie zalecamy podłączenie urządzenia hosta do sieci przewodowej (zamiast Wi-Fi) przed ponownym uruchomieniem, ponieważ urządzenie hosta będzie mogło szybciej uzyskać połączenie internetowe przez Ethernet.
• Jeśli host ponownie ulegnie awarii, wówczas:
• Uruchom system Windows w trybie awaryjnym lub w środowisku odzyskiwania systemu Windows
• Uwaga: umieszczenie hosta w sieci przewodowej (a nie Wi-Fi) i użycie trybu awaryjnego z obsługą sieci może pomóc w rozwiązaniu problemu.
• Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
• Odzyskiwanie systemu Windows domyślnie to X:\windows\system32
• Najpierw przejdź do odpowiedniej partycji (domyślnie jest to C:\), a następnie przejdź do katalogu crowdstrike:
• A:
• cd Windows\system32\drivers\crowdstrike
• Uwaga: w WinRE/WinPE przejdź do katalogu Windows\System32\drivers\CrowdStrike w folderze systemu operacyjnego
• Wybierz plik odpowiadający „C-00000291*.sys” i usuń go.
• NIE Usuń lub zmień inne pliki lub foldery
• Zimny ​​rozruch hosta
• Wyłącz hosta.
• Uruchom hosta ze stanu zatrzymania.

Uwaga: hosty zaszyfrowane za pomocą funkcji BitLocker mogą wymagać klucza odzyskiwania.

Kroki pozwalające obejść chmurę publiczną lub podobne środowisko, w tym wirtualizację:

Dokumentacja AWS-a:

Środowiska Azure:

Klucz odzyskiwania dostępu użytkownika w portalu Workspace ONE

Gdy to ustawienie jest włączone, użytkownicy mogą odzyskać klucz odzyskiwania funkcji BitLocker z portalu Workspace ONE bez konieczności kontaktowania się z Centrum pomocy w celu uzyskania pomocy. Aby włączyć klucz odzyskiwania w portalu Workspace ONE, wykonaj poniższe kroki. Proszę to zobaczyć Artykuł w Omnisie po więcej informacji.

Zarządzaj szyfrowaniem systemu Windows za pomocą Tanium

Odzyskiwanie funkcji Bitlocker za pośrednictwem Citrix

Baza wiedzy na temat odzyskiwania funkcji BitLocker:

Dodatkowe zasoby: