Falcon-inhoudsupdateverklaring voor hosts met Windows

Bijgewerkt op 21:13 ET, 19 juli 2024

CrowdStrike werkt actief samen met klanten die getroffen zijn door een fout die is ontdekt in een enkele inhoudsupdate voor Windows-hosts. Mac- en Linux-hosts worden niet beïnvloed. Dit was geen cyberaanval.

Het probleem is geïdentificeerd, geïsoleerd en er is een oplossing geïmplementeerd. We verwijzen klanten naar het ondersteuningsportaal voor de nieuwste updates en zullen doorlopende, volledige openbare updates op onze blog blijven aanbieden.

We raden organisaties ook aan ervoor te zorgen dat ze via officiële kanalen met CrowdStrike-vertegenwoordigers communiceren.

Ons team is volledig voorbereid om de veiligheid en stabiliteit van CrowdStrike-klanten te garanderen.

Wij begrijpen de ernst van de situatie en bieden onze oprechte excuses aan voor het ongemak en de verstoring. We werken samen met alle betrokken klanten om ervoor te zorgen dat de systemen weer operationeel zijn en de diensten kunnen leveren waar hun klanten op vertrouwen.

We verzekeren onze klanten dat CrowdStrike normaal werkt en dat dit probleem geen invloed heeft op onze Falcon-platformsystemen. Als uw systemen normaal werken, heeft de montage van een Falcon-sensor geen invloed op de bescherming ervan.

Hieronder vindt u de nieuwste technische waarschuwing van CrowdStrike met meer informatie over het probleem en de stappen die organisaties kunnen ondernemen om het probleem op te lossen. We zullen doorgaan met het bieden van updates aan onze community en branche zodra deze beschikbaar komen.

samenvatting

details

• Symptomen zijn onder meer dat hosts een bugcheck\blauwe schermfout ervaren die verband houdt met de Falcon-sensor.
• Niet-getroffen Windows-hosts vereisen geen actie omdat het problematische kanaalbestand is hersteld.
• Windows-hosts die na 0527 UTC verbinding maken met internet, worden eveneens niet beïnvloed
• Dit probleem heeft geen invloed op hosts met Mac of Linux
• Kanaalbestand “C-00000291*.sys” met een tijdtag van 0527 UTC of hoger is de geretourneerde (goede) versie.
• Het kanaalbestand “C-00000291*.sys” met een tijdtag van 0409 UTC is de versie met het probleem.
• Opmerking: het is normaal dat er meerdere “C-00000291*.sys”-bestanden in de CrowdStrike-map staan ​​- zolang Een Als een bestand in de map een tijdtag van 0527 UTC of hoger heeft, is dit de actieve inhoud.

Huidige actie

• CrowdStrike Engineering kon de publicatie van inhoud met betrekking tot dit probleem identificeren en deze wijzigingen ongedaan maken.
• Als hosts blijven crashen en niet online kunnen blijven om wijzigingen in kanaalbestanden te ontvangen, is het mogelijk om de onderstaande stappen om het probleem te omzeilen te gebruiken.
• Dat verzekeren wij onze klanten CrowdStrike werkt normaal en dit probleem heeft geen invloed op onze Falcon-platformsystemenAls uw systemen normaal werken, heeft de installatie van een Falcon-sensor geen invloed op de bescherming ervan. De diensten van Falcon Complete en OverWatch worden niet verstoord door dit incident.

Zoekopdracht om getroffen hosts te identificeren via geavanceerd zoeken naar gebeurtenissen

Zie dit kennisbankartikel: Hosts identificeren die mogelijk getroffen zijn door een Windows-crash (pdf-bestand) of Log in om het ondersteuningsportal te bekijken.

Dashboard

Vergelijkbaar met de bovenstaande zoekopdracht is er nu een dashboard beschikbaar dat de betrokken kanalen, klant-ID’s en betrokken sensoren weergeeft. Afhankelijk van uw abonnementen is het beschikbaar in het consolemenu van:

• Next Generation SIEM > Dashboard of;
• Onderzoek > Dashboards
• Het heeft de naam: hosts_possably_impacted_by_windows_crashes

Let op: Het dashboard kan niet worden gebruikt met de Live-knop

AutoRecover-artikelen:

Zie dit artikel: Automatisch herstel van een blauw scherm in Windows-instanties in GCP (pdf) of Log in om het ondersteuningsportal te bekijken.

Tijdelijke stappen voor individuele hosts:

• Start de hostmachine opnieuw op om deze de kans te geven het retourkanaalbestand te downloaden. We raden u ten zeerste aan om het hostapparaat op een bekabeld netwerk (in plaats van WiFi) te plaatsen voordat u opnieuw opstart, omdat het hostapparaat via Ethernet sneller een internetverbinding kan krijgen.
• Als de host opnieuw uitvalt, dan:
• Start Windows op in de veilige modus of de Windows-herstelomgeving
• Opmerking: het plaatsen van de host op een bekabeld netwerk (in plaats van WiFi) en het gebruik van de Veilige modus met netwerkmogelijkheden kan het probleem helpen oplossen.
• Navigeer naar de map %WINDIR%\System32\drivers\CrowdStrike
• Windows Herstel is standaard X:\windows\system32
• Navigeer eerst naar de juiste partitie (standaard is C:\) en navigeer naar de crowdstrike-map:
• A:
• cd windows\system32\drivers\crowdstrike
• Opmerking: Ga in WinRE/WinPE naar de map Windows\System32\drivers\CrowdStrike van de map met het besturingssysteem
• Selecteer het bestand dat overeenkomt met “C-00000291*.sys” en verwijder het.
• Nee Verwijder of wijzig andere bestanden of mappen
• Start de host koud op
• Host afsluiten.
• Start de host vanuit de gestopte status.

Opmerking: Voor hosts die zijn versleuteld met BitLocker is mogelijk een herstelsleutel vereist.

Stappen om rond een publieke cloud of soortgelijke omgeving te werken, inclusief virtualisatie:

AWS-documentatie:

Azure-omgevingen:

Herstelsleutel voor gebruikerstoegang in de Workspace ONE-portal

Wanneer deze instelling is ingeschakeld, kunnen gebruikers hun BitLocker-herstelsleutel ophalen uit de Workspace ONE-portal zonder dat ze voor hulp contact hoeven op te nemen met het Helpcentrum. Volg deze stappen om de herstelsleutel in de Workspace ONE-portal in te schakelen. Zie dit alstublieft Omnisa-artikel voor meer informatie.

Beheer Windows-encryptie via Tanium

Bitlockerherstel via Citrix

Kennisbank voor BitLocker-herstel:

Aanvullende bronnen: