Oświadczenie o aktualizacji zawartości Falcon dla hostów z systemem Windows

Zaktualizowano o 18:11 ET, 19 lipca 2024 r

CrowdStrike aktywnie współpracuje z klientami, których dotyczy luka wykryta w pojedynczej aktualizacji zawartości dla hostów Windows. Nie ma to wpływu na hosty Mac i Linux. To nie był cyberatak.

Problem został zidentyfikowany, wyizolowany i wdrożono rozwiązanie. Odsyłamy klientów do portalu pomocy technicznej w celu uzyskania najnowszych aktualizacji i będziemy nadal udostępniać ciągłe, kompletne aktualizacje publiczne na naszym blogu.

Zalecamy również, aby organizacje upewniły się, że komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.

Nasz zespół jest w pełni przygotowany, aby zapewnić bezpieczeństwo i stabilność klientom CrowdStrike.

Rozumiemy powagę sytuacji i serdecznie przepraszamy za niedogodności i zakłócenia. Współpracujemy ze wszystkimi klientami, których to dotyczy, aby zapewnić prawidłowe działanie systemów i możliwość świadczenia usług, na których polegają ich klienci.

Zapewniamy naszych klientów, że CrowdStrike działa normalnie i że ten problem nie dotyczy naszych systemów platform Falcon. Jeśli Twoje systemy działają normalnie, zamontowanie czujnika Falcon nie będzie miało wpływu na ich ochronę.

Poniżej znajduje się najnowszy alert techniczny od CrowdStrike zawierający więcej informacji na temat problemów i kroków, jakie mogą podjąć organizacje. Będziemy nadal dostarczać aktualizacje naszej społeczności i branży, gdy tylko będą dostępne.

streszczenie

  • CrowdStrike jest świadomy raportów o awariach na hostach Windows związanych z czujnikiem Falcon.

Detale

  • Objawy obejmują występowanie na hostach błędu sprawdzania błędów\niebieskiego ekranu związanego z czujnikiem Falcon.
  • Nienaruszone hosty z systemem Windows nie wymagają żadnych działań, ponieważ problematyczny plik kanału został odwrócony.
  • Hosty z systemem Windows, które łączą się z Internetem po godzinie 05:27 UTC, również nie zostaną naruszone
  • Ten problem nie dotyczy hostów z systemem Mac lub Linux
  • Plik kanału „C-00000291*.sys” ze znacznikiem czasowym 0527 UTC lub nowszym jest zwróconą (dobrą) wersją.
  • Wersja, w której występuje problem, to plik kanału „C-00000291*.sys” ze znacznikiem czasowym 0409 UTC.
    • Uwaga: normalne jest, że w katalogu CrowdStrike znajduje się wiele plików „C-00000291*.sys” – jeśli jeden z plików w folderze ma znacznik czasowy 0527 UTC lub późniejszy, będzie to aktywna zawartość.
READ  Ukraina zatopiła na Krymie dwie rosyjskie łodzie desantowe – personel wojskowy

Bieżąca akcja

  • Inżynierii CrowdStrike udało się zidentyfikować publikację treści związanych z tym problemem i cofnąć te zmiany.
  • Jeśli hosty nadal ulegają awariom i nie mogą pozostać w trybie online, aby otrzymać zmiany w plikach kanałów, można zastosować poniższe kroki obejścia.
  • Zapewniamy o tym naszych klientów CrowdStrike działa normalnie i ten problem nie wpływa na nasze systemy platformy FalconJeśli Twoje systemy działają normalnie, zainstalowanie czujnika Falcon nie będzie miało wpływu na ich ochronę. Ten incydent nie zakłóca usług Falcon Complete i Falcon OverWatch.

Zapytanie identyfikujące hosty, których dotyczy problem, za pomocą zaawansowanego wyszukiwania zdarzeń

Zapoznaj się z tym artykułem w bazie wiedzy: Jak zidentyfikować hosty, na które może mieć wpływ awaria systemu Windows (plik pdf) lub Zaloguj się, aby wyświetlić portal wsparcia.

Kroki obejścia dla poszczególnych hostów:

  • Uruchom ponownie komputer hosta, aby umożliwić mu pobranie pliku kanału zwrotnego. Zdecydowanie zalecamy podłączenie urządzenia hosta do sieci przewodowej (zamiast Wi-Fi) przed ponownym uruchomieniem, ponieważ urządzenie hosta będzie mogło szybciej uzyskać połączenie internetowe przez Ethernet.
  • Jeśli host ponownie ulegnie awarii, wówczas:
    • Uruchom system Windows w trybie awaryjnym lub w środowisku odzyskiwania systemu Windows
      • Uwaga: umieszczenie hosta w sieci przewodowej (a nie Wi-Fi) i użycie trybu awaryjnego z obsługą sieci może pomóc w rozwiązaniu problemu.
    • Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
      • Uwaga: w WinRE/WinPE przejdź do katalogu Windows\System32\drivers\CrowdStrike w folderze systemu operacyjnego
    • Wybierz plik odpowiadający „C-00000291*.sys” i usuń go.
    • Włącz hosta normalnie.
    • Uwaga: hosty zaszyfrowane za pomocą funkcji BitLocker mogą wymagać klucza odzyskiwania.

Kroki pozwalające obejść chmurę publiczną lub podobne środowisko, w tym wirtualizację:

Opcja 1:

  • ​​​​​​​​Odłącz wolumin dysku systemu operacyjnego od serwera wirtualnego, którego dotyczy problem
  • Przed kontynuowaniem utwórz migawkę lub kopię zapasową woluminu dysku, aby zapobiec niezamierzonym zmianom
  • Połącz/zamontuj wolumin do nowego serwera wirtualnego
  • Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
  • Wybierz plik odpowiadający „C-00000291*.sys” i usuń go.
  • Odłączanie wolumenu od nowego serwera wirtualnego
  • Podłącz ponownie wolumin stały do ​​serwera wirtualnego, którego dotyczy problem
READ  Wielka Brytania twierdzi, że działania Rosji w elektrowni w Zaporożu mogą zagrozić jej bezpieczeństwu”

Opcja 2:

  • Wróć do migawki sprzed 04:09 UTC.

Dokumentacja AWS-a:

Środowiska Azure:

Dostęp użytkownika do klucza odzyskiwania w portalu Workspace ONE

Gdy to ustawienie jest włączone, użytkownicy mogą odzyskać klucz odzyskiwania funkcji BitLocker z portalu Workspace ONE bez konieczności kontaktowania się z Centrum pomocy w celu uzyskania pomocy. Aby włączyć klucz odzyskiwania w portalu Workspace ONE, wykonaj poniższe kroki. Proszę to zobaczyć Artykuł w Omnisie po więcej informacji.

Zarządzaj szyfrowaniem systemu Windows za pomocą Tanium

Odzyskiwanie funkcji Bitlocker za pośrednictwem Citrix

Baza wiedzy na temat odzyskiwania funkcji BitLocker:

Dodatkowe źródła:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *