Report sull’aggiornamento del contenuto Falcon per host Windows

Aggiornato alle 21:13 ET, 19 luglio 2024

CrowdStrike sta lavorando attivamente con i clienti interessati dalla vulnerabilità rilevata nell’aggiornamento del contenuto singolo per gli host Windows. Gli host Mac e Linux non sono interessati. Questo non è un attacco informatico.

Il problema viene identificato, isolato e viene applicata una correzione. Rimandiamo i clienti al portale di supporto per gli ultimi aggiornamenti e continueremo a fornire aggiornamenti pubblici completi e continui sul nostro blog.

Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso canali ufficiali.

Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike.

Comprendiamo la gravità della situazione e ci rammarichiamo profondamente del disagio e del disagio. Stiamo collaborando con tutti i clienti interessati per garantire che venga eseguito il backup dei sistemi e che possano fornire i servizi di cui i clienti si fidano.

Assicuriamo ai nostri clienti che CrowdStrike funziona normalmente e che questo problema non influirà sui nostri sistemi della piattaforma Falcon. Se i tuoi computer funzionano normalmente ed è installato Falcon Sensor, la loro sicurezza non è compromessa.

Di seguito è riportato l’ultimo avviso tecnico di CrowdStrike, ulteriori informazioni sul problema e le azioni correttive che le organizzazioni possono intraprendere. Continueremo a fornire aggiornamenti alla nostra comunità e al settore non appena saranno disponibili.

Riepilogo

  • CrowdStrike è a conoscenza di segnalazioni di arresti anomali su host Windows relativi al sensore Falcon.

dettagli

  • I sintomi degli host che riscontrano un errore di controllo errori/schermata blu correlato al sensore Falcon includono:
  • Poiché il file del canale problematico è stato modificato, non è richiesta alcuna azione per gli host Windows non interessati.
  • Anche gli host Windows portati online dopo le 05:27 UTC non sono interessati
  • Questo problema non riguarda gli host basati su Mac o Linux
  • File di canale “C-00000291*.sys” con timestamp 0527 UTC o versione successiva (buona) restituita.
  • La versione problematica è il file del canale “C-00000291*.sys” con timestamp 0409 UTC.
    • Nota: è normale che una directory CrowdStrike contenga più file “C-00000291*.sys: se uno dei file nella cartella ha un timestamp pari a 0527 UTC o successivo, si tratta di contenuto attivo.

Azione attuale

  • CrowdStrike Engineering ha identificato la distribuzione dei contenuti associata a questo problema e ha implementato tali modifiche.
  • Se gli host sono ancora inattivi e non possono essere online per ricevere le modifiche ai file del canale, puoi utilizzare i passaggi della soluzione riportati di seguito.
  • Promettiamo ai nostri clienti CrowdStrike funziona normalmente e questo problema non influisce sui sistemi della nostra piattaforma Falcon. Se i tuoi computer funzionano normalmente ed è installato Falcon Sensor, la loro sicurezza non è compromessa. I servizi Falcon Complete e Falcon OverWatch non sono stati interessati dall’incidente.

Query per identificare gli host infetti con la ricerca avanzata degli eventi

Consulta questo articolo della Knowledge Base: Come identificare gli host vulnerabili agli arresti anomali di Windows (pdf) o Accedi per visualizzare il portale di supporto.

Articoli sul ripristino automatico:

Consulta questo articolo: Ripristino automatico dalla schermata blu su istanze Windows su GCP (pdf) o Accedi per visualizzare il portale di supporto.

Passaggi della soluzione per singoli host:

  • Riavvia l’host per dargli la possibilità di scaricare il file del canale recuperato. Consigliamo vivamente di collegare l’host su una rete cablata (anziché Wi-Fi) prima del riavvio, poiché l’host riceverà la connettività Internet molto più velocemente tramite Ethernet.
  • Se l’host si blocca nuovamente, allora:
    • Avvia Windows in modalità provvisoria o in ambiente ripristino Windows
      • Nota: posizionare l’host su una rete cablata (anziché Wi-Fi) e utilizzare la modalità provvisoria con rete può aiutare nella risoluzione dei problemi.
    • Passare alla directory %WINDIR%\System32\drivers\CrowdStrike
      • Nota: in WinRE/WinPE, vai alla directory Windows\System32\drivers\CrowdStrike del volume del sistema operativo
    • Trova il file corrispondente a “C-00000291*.sys” ed eliminalo.
    • Avvia normalmente l’host.
    • Nota: gli host crittografati con BitLocker potrebbero richiedere una chiave di ripristino.

Passaggi della soluzione per cloud pubblico o ambiente simile, incluso quello virtuale:

Opzione 1:

  • Scollegare il volume del disco del sistema operativo dal server virtuale interessato
  • Creare uno snapshot o un backup del volume del disco prima di procedere ulteriormente come precauzione contro modifiche involontarie.
  • Collegare/montare il modulo sul nuovo server virtuale
  • Passare alla directory %WINDIR%\System32\drivers\CrowdStrike
  • Trova il file corrispondente a “C-00000291*.sys” ed eliminalo.
  • Scollegare il volume dal nuovo server virtuale
  • Riconnettere il volume fisso al server virtuale interessato

Opzione 2:

  • Torna a un’istantanea prima delle 04:09 UTC.

Documentazione specifica di AWS:

Ambienti blu:

Accesso dell’utente alla chiave di ripristino in un portale al lavoro

Quando questa impostazione è abilitata, gli utenti possono recuperare la chiave di ripristino di BitLocker dal portale Workplace ONE senza la necessità di contattare l’help desk per assistenza. Segui i passaggi successivi per abilitare una chiave di ripristino nel portale Workspace ONE. Per favore guarda questo Saggio Omnisa Per maggiori informazioni.

Gestione della crittografia di Windows tramite Tanium

Ripristino di BitLocker tramite Citrix

KB relativi al ripristino di BitLocker:

Risorse addizionali:

We will be happy to hear your thoughts

Leave a reply