Aggiornato alle 21:13 ET, 19 luglio 2024
CrowdStrike sta lavorando attivamente con i clienti interessati dalla vulnerabilità rilevata nell’aggiornamento del contenuto singolo per gli host Windows. Gli host Mac e Linux non sono interessati. Questo non è un attacco informatico.
Il problema viene identificato, isolato e viene applicata una correzione. Rimandiamo i clienti al portale di supporto per gli ultimi aggiornamenti e continueremo a fornire aggiornamenti pubblici completi e continui sul nostro blog.
Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso canali ufficiali.
Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike.
Comprendiamo la gravità della situazione e ci rammarichiamo profondamente del disagio e del disagio. Stiamo collaborando con tutti i clienti interessati per garantire che venga eseguito il backup dei sistemi e che possano fornire i servizi di cui i clienti si fidano.
Assicuriamo ai nostri clienti che CrowdStrike funziona normalmente e che questo problema non influirà sui nostri sistemi della piattaforma Falcon. Se i tuoi computer funzionano normalmente ed è installato Falcon Sensor, la loro sicurezza non è compromessa.
Di seguito è riportato l’ultimo avviso tecnico di CrowdStrike, ulteriori informazioni sul problema e le azioni correttive che le organizzazioni possono intraprendere. Continueremo a fornire aggiornamenti alla nostra comunità e al settore non appena saranno disponibili.
Riepilogo
- CrowdStrike è a conoscenza di segnalazioni di arresti anomali su host Windows relativi al sensore Falcon.
dettagli
- I sintomi degli host che riscontrano un errore di controllo errori/schermata blu correlato al sensore Falcon includono:
- Poiché il file del canale problematico è stato modificato, non è richiesta alcuna azione per gli host Windows non interessati.
- Anche gli host Windows portati online dopo le 05:27 UTC non sono interessati
- Questo problema non riguarda gli host basati su Mac o Linux
- File di canale “C-00000291*.sys” con timestamp 0527 UTC o versione successiva (buona) restituita.
- La versione problematica è il file del canale “C-00000291*.sys” con timestamp 0409 UTC.
- Nota: è normale che una directory CrowdStrike contenga più file “C-00000291*.sys: se uno dei file nella cartella ha un timestamp pari a 0527 UTC o successivo, si tratta di contenuto attivo.
Azione attuale
- CrowdStrike Engineering ha identificato la distribuzione dei contenuti associata a questo problema e ha implementato tali modifiche.
- Se gli host sono ancora inattivi e non possono essere online per ricevere le modifiche ai file del canale, puoi utilizzare i passaggi della soluzione riportati di seguito.
- Promettiamo ai nostri clienti CrowdStrike funziona normalmente e questo problema non influisce sui sistemi della nostra piattaforma Falcon. Se i tuoi computer funzionano normalmente ed è installato Falcon Sensor, la loro sicurezza non è compromessa. I servizi Falcon Complete e Falcon OverWatch non sono stati interessati dall’incidente.
Query per identificare gli host infetti con la ricerca avanzata degli eventi
Consulta questo articolo della Knowledge Base: Come identificare gli host vulnerabili agli arresti anomali di Windows (pdf) o Accedi per visualizzare il portale di supporto.
Articoli sul ripristino automatico:
Consulta questo articolo: Ripristino automatico dalla schermata blu su istanze Windows su GCP (pdf) o Accedi per visualizzare il portale di supporto.
Passaggi della soluzione per singoli host:
- Riavvia l’host per dargli la possibilità di scaricare il file del canale recuperato. Consigliamo vivamente di collegare l’host su una rete cablata (anziché Wi-Fi) prima del riavvio, poiché l’host riceverà la connettività Internet molto più velocemente tramite Ethernet.
- Se l’host si blocca nuovamente, allora:
- Avvia Windows in modalità provvisoria o in ambiente ripristino Windows
- Nota: posizionare l’host su una rete cablata (anziché Wi-Fi) e utilizzare la modalità provvisoria con rete può aiutare nella risoluzione dei problemi.
- Passare alla directory %WINDIR%\System32\drivers\CrowdStrike
- Nota: in WinRE/WinPE, vai alla directory Windows\System32\drivers\CrowdStrike del volume del sistema operativo
- Trova il file corrispondente a “C-00000291*.sys” ed eliminalo.
- Avvia normalmente l’host.
- Nota: gli host crittografati con BitLocker potrebbero richiedere una chiave di ripristino.
Passaggi della soluzione per cloud pubblico o ambiente simile, incluso quello virtuale:
Opzione 1:
- Scollegare il volume del disco del sistema operativo dal server virtuale interessato
- Creare uno snapshot o un backup del volume del disco prima di procedere ulteriormente come precauzione contro modifiche involontarie.
- Collegare/montare il modulo sul nuovo server virtuale
- Passare alla directory %WINDIR%\System32\drivers\CrowdStrike
- Trova il file corrispondente a “C-00000291*.sys” ed eliminalo.
- Scollegare il volume dal nuovo server virtuale
- Riconnettere il volume fisso al server virtuale interessato
Opzione 2:
- Torna a un’istantanea prima delle 04:09 UTC.
Documentazione specifica di AWS:
Ambienti blu:
Accesso dell’utente alla chiave di ripristino in un portale al lavoro
Quando questa impostazione è abilitata, gli utenti possono recuperare la chiave di ripristino di BitLocker dal portale Workplace ONE senza la necessità di contattare l’help desk per assistenza. Segui i passaggi successivi per abilitare una chiave di ripristino nel portale Workspace ONE. Per favore guarda questo Saggio Omnisa Per maggiori informazioni.