Falcon-Inhaltsaktualisierungsanweisung für Hosts, auf denen Windows ausgeführt wird
Aktualisiert am 19. Juli 2024 um 21:13 Uhr ET
CrowdStrike arbeitet aktiv mit Kunden zusammen, die von einem Fehler betroffen sind, der in einem einzelnen Inhaltsupdate für Windows-Hosts entdeckt wurde. Mac- und Linux-Hosts sind nicht betroffen. Dabei handelte es sich nicht um einen Cyberangriff.
Das Problem wurde identifiziert, isoliert und eine Lösung bereitgestellt. Wir verweisen Kunden für die neuesten Updates auf das Support-Portal und werden weiterhin fortlaufende, vollständige öffentliche Updates in unserem Blog bereitstellen.
Wir empfehlen Organisationen außerdem, sicherzustellen, dass sie über offizielle Kanäle mit CrowdStrike-Vertretern kommunizieren.
Unser Team ist bestens darauf vorbereitet, die Sicherheit und Stabilität der CrowdStrike-Kunden zu gewährleisten.
Wir verstehen den Ernst der Lage und entschuldigen uns zutiefst für die Unannehmlichkeiten und Störungen. Wir arbeiten mit allen betroffenen Kunden zusammen, um sicherzustellen, dass die Systeme wieder betriebsbereit sind und die Dienste bereitstellen können, auf die sich ihre Kunden verlassen.
Wir versichern unseren Kunden, dass CrowdStrike normal funktioniert und dass dieses Problem keine Auswirkungen auf unsere Falcon-Plattformsysteme hat. Wenn Ihre Systeme normal funktionieren, hat der Einbau eines Falcon-Sensors keine Auswirkungen auf deren Schutz.
Nachfolgend finden Sie die neueste technische Warnung von CrowdStrike mit weiteren Informationen zum Problem und Lösungsschritten, die Unternehmen ergreifen können. Wir werden unserer Community und unserer Branche weiterhin Aktualisierungen zur Verfügung stellen, sobald diese verfügbar sind.
Zusammenfassung
Einzelheiten
- Zu den Symptomen gehört, dass bei Hosts ein Bugcheck/Bluescreen-Fehler im Zusammenhang mit dem Falcon-Sensor auftritt.
- Für nicht betroffene Windows-Hosts ist keine Aktion erforderlich, da die problematische Kanaldatei wiederhergestellt wurde.
- Auch Windows-Hosts, die nach 0527 UTC eine Verbindung zum Internet herstellen, sind nicht betroffen
- Dieses Problem betrifft keine Hosts, auf denen Mac oder Linux ausgeführt wird
- Die zurückgegebene (gute) Version ist die Kanaldatei „C-00000291*.sys“ mit der Zeitmarkierung 0527 UTC oder später.
- Die Kanaldatei „C-00000291*.sys“ mit der Zeitangabe 0409 UTC ist die Version mit dem Problem.
- Hinweis: Es ist normal, mehrere „C-00000291*.sys“-Dateien im CrowdStrike-Verzeichnis zu haben – solange Eins Wenn eine Datei im Ordner eine Zeitangabe von 0527 UTC oder später hat, ist dies der aktive Inhalt.
Aktuelle Aktion
- CrowdStrike Engineering konnte die Veröffentlichung von Inhalten im Zusammenhang mit diesem Problem identifizieren und diese Änderungen rückgängig machen.
- Wenn Hosts weiterhin abstürzen und nicht in der Lage sind, online zu bleiben, um Kanaldateiänderungen zu empfangen, können Sie die folgenden Problemumgehungsschritte verwenden.
- Das versichern wir unseren Kunden CrowdStrike läuft normal und dieses Problem hat keine Auswirkungen auf unsere Falcon-PlattformsystemeWenn Ihre Systeme normal funktionieren, hat die Installation eines Falcon-Sensors keine Auswirkungen auf deren Schutz. Die Dienste von Falcon Complete und OverWatch werden durch diesen Vorfall nicht beeinträchtigt.
Abfrage zur Identifizierung betroffener Hosts über die erweiterte Ereignissuche
Bitte lesen Sie diesen Wissensdatenbankartikel: So identifizieren Sie Hosts, die von einem Windows-Absturz betroffen sein könnten (PDF-Datei) oder Melden Sie sich an, um das Support-Portal anzuzeigen.
Armaturenbrett
Ähnlich wie bei der oben genannten Abfrage ist jetzt ein Dashboard verfügbar, das betroffene Kanäle, Kunden-IDs und betroffene Sensoren anzeigt. Abhängig von Ihren Abonnements ist es im Konsolenmenü verfügbar:
- SIEM der nächsten Generation > Dashboard oder;
- Untersuchung > Dashboards
- Der Name lautet: hosts_possably_impacted_by_windows_crashes
Hinweis: Das Dashboard kann nicht mit der Live-Schaltfläche verwendet werden
AutoRecover-Artikel:
Bitte lesen Sie diesen Artikel: Automatische Wiederherstellung nach Bluescreen auf Windows-Instanzen in GCP (PDF) oder Melden Sie sich an, um das Support-Portal anzuzeigen.
Workaround-Schritte für einzelne Hosts:
- Starten Sie den Host-Computer neu, um ihm die Möglichkeit zu geben, die Rückkanaldatei herunterzuladen. Wir empfehlen dringend, das Host-Gerät vor dem Neustart in ein kabelgebundenes Netzwerk (anstelle von WLAN) einzubinden, da das Host-Gerät über Ethernet schneller eine Internetverbindung herstellen kann.
- Wenn der Host erneut ausfällt, dann:
- Starten Sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung
- Hinweis: Die Platzierung des Hosts in einem kabelgebundenen Netzwerk (im Gegensatz zu WLAN) und die Verwendung des abgesicherten Modus mit Netzwerk kann zur Lösung des Problems beitragen.
- Navigieren Sie zum Verzeichnis %WINDIR%\System32\drivers\CrowdStrike
- Die Windows-Wiederherstellung ist standardmäßig auf X:\windows\system32 eingestellt
- Navigieren Sie zuerst zur entsprechenden Partition (Standard ist C:\) und dann zum Crowdstrike-Verzeichnis:
- A:
- cd windows\system32\drivers\crowdstrike
- Hinweis: Gehen Sie in WinRE/WinPE zum Verzeichnis Windows\System32\drivers\CrowdStrike des Betriebssystemordners
- Wählen Sie die Datei „C-00000291*.sys“ aus und löschen Sie sie.
- NEIN Löschen oder ändern Sie alle anderen Dateien oder Ordner
- Starten Sie den Host kalt
- Host herunterfahren.
- Starten Sie den Host im gestoppten Zustand.
Hinweis: Mit BitLocker verschlüsselte Hosts erfordern möglicherweise einen Wiederherstellungsschlüssel.
Schritte zum Umgehen einer öffentlichen Cloud oder einer ähnlichen Umgebung einschließlich Virtualisierung:
Option 1:
- Trennen Sie das Betriebssystem-Festplattenvolume vom betroffenen virtuellen Server
- Erstellen Sie als Vorsichtsmaßnahme gegen unbeabsichtigte Änderungen einen Snapshot oder ein Backup des Festplatten-Volumes, bevor Sie fortfahren
- Verknüpfen/mounten Sie das Volume mit einem neuen virtuellen Server
- Navigieren Sie zum Verzeichnis %WINDIR%\System32\drivers\CrowdStrike
- Wählen Sie die Datei „C-00000291*.sys“ aus und löschen Sie sie.
- Trennen des Volumes vom neuen virtuellen Server
- Verbinden Sie das persistente Volume erneut mit dem betroffenen virtuellen Server
Option 2:
- Kehren Sie vor 0409 UTC zu einem Schnappschuss zurück.
AWS-Dokumentation:
Azure-Umgebungen:
Wiederherstellungsschlüssel für den Benutzerzugriff im Workspace ONE-Portal
Wenn diese Einstellung aktiviert ist, können Benutzer ihren BitLocker-Wiederherstellungsschlüssel vom Workspace ONE-Portal abrufen, ohne sich an das Help Center wenden zu müssen. Führen Sie die folgenden Schritte aus, um den Wiederherstellungsschlüssel im Workspace ONE-Portal zu aktivieren. Bitte sehen Sie sich das an Omnisa-Artikel für mehr Informationen.
Verwalten Sie die Windows-Verschlüsselung über Tanium
Bitlocker-Wiederherstellung über Citrix
Wissensdatenbank zur BitLocker-Wiederherstellung:
Zusätzliche Quellen:
„Spieler. Bedauerliche Twitter-Lehrer. Zombie-Pioniere. Internet-Fanatiker. Hardcore-Denker.“