Pernyataan pembaruan konten Falcon untuk host yang menjalankan Windows

Diperbarui pada 21:13 ET, 19 Juli 2024

CrowdStrike secara aktif bekerja dengan pelanggan yang terkena dampak kelemahan yang ditemukan dalam pembaruan konten tunggal untuk host Windows. Host Mac dan Linux tidak terpengaruh. Ini bukanlah serangan dunia maya.

Masalahnya telah diidentifikasi, diisolasi, dan solusi telah diterapkan. Kami merujuk pelanggan ke portal dukungan untuk pembaruan terkini dan akan terus memberikan pembaruan publik yang lengkap dan berkelanjutan di blog kami.

Kami juga merekomendasikan agar organisasi memastikan mereka berkomunikasi dengan perwakilan CrowdStrike melalui saluran resmi.

Tim kami sepenuhnya siap untuk memastikan keamanan dan stabilitas pelanggan CrowdStrike.

Kami memahami keseriusan situasi ini dan meminta maaf sebesar-besarnya atas ketidaknyamanan dan gangguan ini. Kami bekerja sama dengan semua pelanggan yang terkena dampak untuk memastikan sistem kembali aktif dan berjalan serta mampu memberikan layanan yang diandalkan oleh pelanggan mereka.

Kami meyakinkan pelanggan kami bahwa CrowdStrike beroperasi secara normal dan masalah ini tidak memengaruhi sistem platform Falcon kami. Jika sistem Anda beroperasi secara normal, perlindungannya tidak akan terpengaruh jika sensor Falcon dipasang.

Di bawah ini adalah peringatan teknis terbaru dari CrowdStrike dengan informasi lebih lanjut tentang masalah ini dan langkah-langkah penyelesaian yang dapat diambil oleh organisasi. Kami akan terus memberikan pembaruan kepada komunitas dan industri kami saat tersedia.

ringkasan

detail

• Gejalanya meliputi host mengalami bugcheck\blue screen error yang terkait dengan sensor Falcon.
• Host Windows yang tidak terpengaruh tidak memerlukan tindakan apa pun karena file saluran yang bermasalah telah dipulihkan.
• Host Windows yang terhubung ke Internet setelah pukul 05.27 UTC juga tidak akan terpengaruh
• Masalah ini tidak mempengaruhi host yang menjalankan Mac atau Linux
• File saluran “C-00000291*.sys” dengan tag waktu 0527 UTC atau lebih baru adalah versi yang dikembalikan (baik).
• File saluran “C-00000291*.sys” dengan tag waktu 0409 UTC adalah versi yang bermasalah.
• Catatan: Adalah normal untuk memiliki beberapa file “C-00000291*.sys” di direktori CrowdStrike – selama Satu Jika file dalam folder memiliki tag waktu 0527 UTC atau lebih baru, ini akan menjadi konten aktif.

Tindakan saat ini

• CrowdStrike Engineering dapat mengidentifikasi publikasi konten yang terkait dengan masalah ini dan membalikkan perubahan tersebut.
• Jika host terus mengalami error dan tidak dapat tetap online untuk menerima perubahan file saluran, Anda dapat menggunakan langkah-langkah solusi di bawah ini.
• Kami meyakinkan pelanggan kami bahwa CrowdStrike berjalan normal dan masalah ini tidak memengaruhi sistem platform Falcon kamiJika sistem Anda beroperasi secara normal, tidak akan ada dampak pada perlindungannya jika sensor Falcon dipasang. Layanan Falcon Complete dan OverWatch tidak terganggu dengan kejadian ini.

Permintaan untuk mengidentifikasi host yang terpengaruh melalui pencarian acara tingkat lanjut

Silakan lihat artikel basis pengetahuan ini: Cara mengidentifikasi host yang mungkin terpengaruh oleh kerusakan Windows (file pdf) atau Masuk untuk melihat portal dukungan.

Dasbor

Mirip dengan kueri yang dirujuk di atas, dasbor kini tersedia yang menunjukkan saluran yang terpengaruh, ID pelanggan, dan sensor yang terpengaruh. Tergantung pada langganan Anda, ini tersedia di menu konsol:

• SIEM Generasi Berikutnya > Dasbor atau;
• Investigasi > Dasbor
• Dinamakan sebagai: host_possively_impacted_by_windows_crashes

Catatan: Dasbor tidak dapat digunakan dengan tombol Live

Artikel Pemulihan Otomatis:

Silakan lihat artikel ini: Pemulihan otomatis dari layar biru pada instance Windows di GCP (pdf) atau Masuk untuk melihat portal dukungan.

Langkah-langkah solusi untuk masing-masing host:

• Nyalakan ulang mesin host untuk memberinya kesempatan mengunduh file saluran kembali. Kami sangat menyarankan untuk meletakkan perangkat host di jaringan kabel (bukan WiFi) sebelum melakukan boot ulang karena perangkat host akan bisa mendapatkan koneksi internet lebih cepat melalui Ethernet.
• Jika host turun lagi, maka:
• Boot Windows ke Safe Mode atau Lingkungan Pemulihan Windows
• Catatan: Menempatkan host di jaringan kabel (bukan WiFi) dan menggunakan Mode Aman dengan jaringan dapat membantu menyelesaikan masalah.
• Navigasikan ke direktori %WINDIR%\System32\drivers\CrowdStrike
• Pemulihan Windows defaultnya adalah X:\windows\system32
• Navigasikan ke partisi yang sesuai terlebih dahulu (defaultnya adalah C:\), dan navigasikan ke direktori crowdstrike:
• A:
• cd windows\system32\drivers\crowdstrike
• Catatan: Di WinRE/WinPE, buka direktori Windows\System32\drivers\CrowdStrike dari folder sistem operasi
• Pilih file yang sesuai dengan “C-00000291*.sys” dan hapus.
• TIDAK Hapus atau ubah file atau folder lainnya
• Boot dingin tuan rumah
• Matikan tuan rumah.
• Mulai host dari keadaan berhenti.

Catatan: Host yang dienkripsi dengan BitLocker mungkin memerlukan kunci pemulihan.

Langkah-langkah untuk mengatasi cloud publik atau lingkungan serupa termasuk virtualisasi:

Dokumentasi AWS:

Lingkungan Azure:

Kunci pemulihan akses pengguna di portal Workspace ONE

Jika pengaturan ini diaktifkan, pengguna dapat mengambil kunci pemulihan BitLocker mereka dari portal Workspace ONE tanpa harus menghubungi Pusat Bantuan untuk mendapatkan bantuan. Untuk mengaktifkan kunci pemulihan di portal Workspace ONE, ikuti langkah-langkah berikut. Silakan lihat ini artikel Omnisa untuk informasi lebih lanjut.

Kelola enkripsi Windows melalui Tanium

Pemulihan Bitlocker melalui Citrix

Basis pengetahuan pemulihan BitLocker:

Sumber tambahan: