Prohlášení o aktualizaci obsahu Falcon pro hostitele se systémem Windows

Aktualizováno v 21:13 ET, 19. července 2024

CrowdStrike aktivně spolupracuje se zákazníky postiženými chybou objevenou v jediné aktualizaci obsahu pro hostitele Windows. Hostitelé Mac a Linux nejsou ovlivněni. Nejednalo se o kybernetický útok.

Problém byl identifikován, izolován a bylo nasazeno řešení. Zákazníky odkazujeme na nejnovější aktualizace na portál podpory a na našem blogu budeme i nadále poskytovat průběžné úplné veřejné aktualizace.

Také doporučujeme, aby organizace zajistily komunikaci se zástupci CrowdStrike prostřednictvím oficiálních kanálů.

Náš tým je plně připraven zajistit bezpečnost a stabilitu zákazníků CrowdStrike.

Chápeme vážnost situace a hluboce se omlouváme za nepříjemnosti a narušení. Pracujeme se všemi dotčenými zákazníky, abychom zajistili, že systémy budou zpět v provozu a budou schopny poskytovat služby, na které se jejich zákazníci spoléhají.

Ujišťujeme naše zákazníky, že CrowdStrike funguje normálně a že tento problém neovlivňuje naše systémy platformy Falcon. Pokud vaše systémy fungují normálně, nebude to mít žádný dopad na jejich ochranu, pokud je nainstalován senzor Falcon.

Níže je nejnovější technické upozornění od CrowdStrike s dalšími informacemi o problému a krocích, které mohou organizace podniknout. Budeme pokračovat v poskytování aktualizací naší komunitě a odvětví, jakmile budou k dispozici.

souhrn

podrobnosti

• Příznaky zahrnují, že hostitelé zaznamenali chybu kontroly chyb\modrá obrazovka související se senzorem Falcon.
• Neovlivnění hostitelé Windows nevyžadují žádnou akci, protože soubor problematického kanálu byl obnoven.
• Hostitelé Windows, kteří se připojují k Internetu po 0527 UTC, také nebudou ovlivněni
• Tento problém se netýká hostitelů se systémem Mac nebo Linux
• Soubor kanálu „C-00000291*.sys“ s časovou značkou 0527 UTC nebo novější je vrácená (dobrá) verze.
• Soubor kanálu „C-00000291*.sys“ s časovou značkou 0409 UTC je verze s problémem.
• Poznámka: Je normální mít v adresáři CrowdStrike více souborů „C-00000291*.sys“ – pokud Jeden Pokud má soubor ve složce časovou značku 0527 UTC nebo novější, bude to aktivní obsah.

Aktuální akce

• CrowdStrike Engineering dokázal identifikovat zveřejnění obsahu souvisejícího s tímto problémem a zvrátit tyto změny.
• Pokud hostitelé nadále selhávají a nemohou zůstat online, aby mohli přijímat změny souborů kanálu, je možné použít níže uvedené kroky k řešení.
• Ujišťujeme naše zákazníky, že CrowdStrike běží normálně a tento problém nemá vliv na naše systémy platformy FalconPokud vaše systémy fungují normálně, nebude mít na jejich ochranu žádný vliv, pokud je nainstalován senzor Falcon. Služby Falcon Complete a OverWatch nejsou tímto incidentem narušeny.

Dotaz k identifikaci postižených hostitelů pomocí pokročilého vyhledávání událostí

Přečtěte si prosím tento článek znalostní báze: Jak identifikovat hostitele, kteří mohou být ovlivněni havárií Windows (soubor pdf) nebo Pro zobrazení portálu podpory se přihlaste.

Přístrojová deska

Podobně jako u výše uvedeného dotazu je nyní k dispozici řídicí panel, který zobrazuje dotčené kanály, ID zákazníků a dotčené senzory. V závislosti na vašich předplatných je k dispozici v nabídce konzoly buď:

• SIEM nové generace > Ovládací panel nebo;
• Vyšetřování > Řídicí panely
• Jmenuje se takto: hosts_posssible_impacted_by_windows_crashes

Poznámka: Ovládací panel nelze použít s tlačítkem Živě

Články automatického obnovení:

Přečtěte si prosím tento článek: Automatické obnovení z modré obrazovky v instancích Windows v GCP (pdf) nebo Pro zobrazení portálu podpory se přihlaste.

Postup řešení pro jednotlivé hostitele:

• Restartujte hostitelský počítač, abyste mu dali příležitost stáhnout soubor zpětného kanálu. Důrazně doporučujeme umístit hostitelské zařízení do kabelové sítě (místo WiFi) před restartem, protože hostitelské zařízení bude moci získat připojení k internetu rychleji přes Ethernet.
• Pokud hostitel znovu spadne, pak:
• Spusťte systém Windows do nouzového režimu nebo prostředí Windows Recovery Environment
• Poznámka: Umístění hostitele do kabelové sítě (na rozdíl od WiFi) a použití nouzového režimu se sítí může pomoci vyřešit problém.
• Přejděte do adresáře %WINDIR%\System32\drivers\CrowdStrike
• Výchozí nastavení pro obnovení systému Windows je X:\windows\system32
• Nejprve přejděte do příslušného oddílu (výchozí je C:\) a přejděte do adresáře crowdstrike:
• A:
• cd windows\system32\drivers\crowdstrike
• Poznámka: Ve WinRE/WinPE přejděte do adresáře Windows\System32\drivers\CrowdStrike složky operačního systému
• Vyberte soubor odpovídající „C-00000291*.sys“ a odstraňte jej.
• Ne Odstraňte nebo změňte jakékoli jiné soubory nebo složky
• Studený start hostitele
• Vypněte hostitele.
• Spusťte hostitele ze zastaveného stavu.

Poznámka: Hostitelé šifrovaní pomocí nástroje BitLocker mohou vyžadovat klíč pro obnovení.

Kroky, jak obejít veřejný cloud nebo podobné prostředí včetně virtualizace:

Dokumentace AWS:

Prostředí Azure:

Klíč pro obnovení přístupu uživatele na portálu Workspace ONE

Když je toto nastavení povoleno, uživatelé mohou načíst svůj obnovovací klíč BitLocker z portálu Workspace ONE, aniž by museli kontaktovat centrum nápovědy o pomoc. Chcete-li zapnout obnovovací klíč na portálu Workspace ONE, postupujte takto. Podívejte se prosím na toto Článek Omnisa Pro více informací.

Spravujte šifrování Windows přes Tanium

Obnova bitlockeru přes Citrix

Znalostní báze pro obnovu BitLocker:

Dodatečné zdroje: