Atnaujinta 21.13 val. ET, 2024 m. liepos 19 d

„CrowdStrike“ aktyviai dirba su klientais, kuriuos paveikė viename „Windows“ prieglobos turinio naujinimo trūkumas. „Mac“ ir „Linux“ prieglobos neturi įtakos. Tai nebuvo kibernetinė ataka.

Problema buvo nustatyta, išskirta ir sprendimas buvo pritaikytas. Mes nukreipiame klientus į palaikymo portalą, kad gautų naujausius atnaujinimus, ir toliau teiksime nuolatinius, išsamius viešus atnaujinimus mūsų tinklaraštyje.

Taip pat rekomenduojame organizacijoms užtikrinti, kad jos bendrautų su „CrowdStrike“ atstovais oficialiais kanalais.

Mūsų komanda yra visiškai pasiruošusi užtikrinti CrowdStrike klientų saugumą ir stabilumą.

Suprantame situacijos rimtumą ir labai atsiprašome už nepatogumus ir trukdžius. Dirbame su visais paveiktais klientais, siekdami užtikrinti, kad sistemos vėl veiktų ir veiktų bei galėtų teikti paslaugas, kuriomis pasitiki jų klientai.

Užtikriname savo klientus, kad CrowdStrike veikia normaliai ir kad ši problema neturi įtakos mūsų Falcon platformos sistemoms. Jei jūsų sistemos veikia normaliai, neturės įtakos jų apsaugai, jei bus sumontuotas Falcon jutiklis.

Toliau pateikiamas naujausias techninis CrowdStrike įspėjimas su daugiau informacijos apie problemą ir sprendimo veiksmus, kurių gali imtis organizacijos. Mes ir toliau teiksime naujienas mūsų bendruomenei ir pramonei, kai tik jie bus pasiekiami.

santrauka

detales

• Simptomai apima pagrindinius kompiuterius, kuriuose įvyko klaidos patikrinimas\mėlyno ekrano klaida, susijusi su Falcon jutikliu.
• Nepaveiktiems „Windows“ pagrindiniams kompiuteriams nereikia jokių veiksmų, nes probleminis kanalo failas buvo atkurtas.
• „Windows“ prieglobos, kurios prisijungia prie interneto po 0527 UTC, taip pat nebus paveiktos
• Ši problema neturi įtakos pagrindiniams kompiuteriams, kuriuose veikia „Mac“ arba „Linux“.
• Kanalo failas „C-00000291*.sys“, kurio laiko žyma yra 0527 UTC arba naujesnė, yra grąžinta (gera) versija.
• Kanalo failas „C-00000291*.sys” su laiko žyma 0409 UTC yra versija su problema.
• Pastaba: normalu, kad CrowdStrike kataloge yra keli „C-00000291*.sys“ failai – tol, kol Vienas Jei failo aplanke laiko žyma yra 0527 UTC arba naujesnė, tai bus aktyvus turinys.

Dabartinis veiksmas

• „CrowdStrike Engineering“ sugebėjo nustatyti su šia problema susijusio turinio paskelbimą ir atšaukti tuos pakeitimus.
• Jei prieglobos ir toliau strigsta ir negali prisijungti prie kanalo failų pakeitimų, galite atlikti toliau nurodytus sprendimo veiksmus.
• Tą savo klientams užtikriname CrowdStrike veikia normaliai ir ši problema neturi įtakos mūsų Falcon platformos sistemomsJei jūsų sistemos veikia normaliai, neturės įtakos jų apsaugai, jei bus sumontuotas Falcon jutiklis. Šis incidentas nesutrikdė „Falcon Complete“ ir „OverWatch“ paslaugų.

Užklausa, skirta identifikuoti paveiktus šeimininkus naudojant išplėstinę įvykių paiešką

Žr. šį žinių bazės straipsnį: Kaip nustatyti pagrindinius kompiuterius, kuriuos gali paveikti „Windows“ gedimas (pdf failas) arba Prisijunkite, kad peržiūrėtumėte palaikymo portalą.

Prietaisų skydelis

Panašiai kaip ir anksčiau minėtoje užklausoje, dabar yra informacijos suvestinė, kurioje rodomi paveikti kanalai, klientų ID ir paveikti jutikliai. Priklausomai nuo jūsų prenumeratos, jis pasiekiamas konsolės meniu:

• Naujos kartos SIEM > Prietaisų skydelis arba;
• Tyrimas > Informacijos suvestinės
• Jis pavadintas taip: hosts_possibly_impacted_by_windows_crashes

Pastaba: prietaisų skydelio negalima naudoti su mygtuku „Live“.

Automatinio atkūrimo straipsniai:

Peržiūrėkite šį straipsnį: Automatinis atkūrimas iš mėlyno ekrano Windows egzempliorių GCP (pdf) arba Prisijunkite, kad peržiūrėtumėte palaikymo portalą.

Atskirų prieglobų sprendimo veiksmai:

• Iš naujo paleiskite pagrindinį kompiuterį, kad suteiktumėte jam galimybę atsisiųsti grįžtamojo kanalo failą. Primygtinai rekomenduojame prieš paleidžiant iš naujo pagrindinį įrenginį prijungti prie laidinio tinklo (vietoj „Wi-Fi“, nes pagrindinis įrenginys galės greičiau prisijungti prie interneto per Ethernet).
• Jei šeimininkas vėl nusileidžia, tada:
• Paleiskite „Windows“ saugiuoju režimu arba „Windows“ atkūrimo aplinka
• Pastaba: prieglobos prijungimas prie laidinio tinklo (priešingai nei „Wi-Fi“) ir saugaus režimo naudojimas su tinklu gali padėti išspręsti problemą.
• Eikite į %WINDIR%\System32\drivers\CrowdStrike katalogą
• Pagal numatytuosius nustatymus „Windows“ atkūrimas yra X:\windows\system32
• Pirmiausia eikite į atitinkamą skaidinį (numatytasis yra C:\) ir eikite į crowdstrike katalogą:
• A:
• cd windows\system32\drivers\crowdstrike
• Pastaba: WinRE / WinPE eikite į operacinės sistemos aplanko katalogą Windows\System32\drivers\CrowdStrike
• Pasirinkite failą, atitinkantį „C-00000291*.sys“, ir ištrinkite jį.
• ne Ištrinkite arba pakeiskite kitus failus ar aplankus
• Šaltas boot šeimininkas
• Išjunkite šeimininką.
• Paleiskite pagrindinį kompiuterį iš sustabdytos būsenos.

Pastaba: „BitLocker“ užšifruotiems pagrindiniams kompiuteriams gali reikėti atkūrimo rakto.

Veiksmai, kaip apeiti viešąjį debesį ar panašią aplinką, įskaitant virtualizavimą:

AWS dokumentacija:

Azure aplinkos:

Vartotojo prieigos atkūrimo raktas Workspace ONE portale

Kai šis nustatymas įgalintas, vartotojai gali gauti savo BitLocker atkūrimo raktą iš Workspace ONE portalo nesikreipdami pagalbos į pagalbos centrą. Norėdami įjungti atkūrimo raktą Workspace ONE portale, atlikite šiuos veiksmus. Žiūrėkite tai Omnisa straipsnis Daugiau informacijos.

Tvarkykite „Windows“ šifravimą naudodami „Tanium“.

Bitlocker atkūrimas per Citrix

„BitLocker“ atkūrimo žinių bazė:

Papildomi resursai: