Actualizado a las 9:13 p.m. ET, 19 de julio de 2024
CrowdStrike está trabajando activamente con los clientes afectados por una falla descubierta en una única actualización de contenido para hosts de Windows. Los hosts Mac y Linux no se ven afectados. Esto no fue un ciberataque.
El problema ha sido identificado, aislado y se ha implementado una solución. Remitimos a los clientes al portal de soporte para obtener las últimas actualizaciones y continuaremos brindando actualizaciones públicas completas y continuas en nuestro blog.
También recomendamos que las organizaciones se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales.
Nuestro equipo está completamente preparado para garantizar la seguridad y estabilidad de los clientes de CrowdStrike.
Entendemos la gravedad de la situación y nos disculpamos profundamente por las molestias y las interrupciones. Estamos trabajando con todos los clientes afectados para garantizar que los sistemas vuelvan a funcionar y puedan brindar los servicios en los que confían sus clientes.
Aseguramos a nuestros clientes que CrowdStrike está funcionando normalmente y que este problema no afecta nuestros sistemas de plataforma Falcon. Si sus sistemas funcionan normalmente, no habrá ningún impacto en su protección si se instala un sensor Falcon.
A continuación se muestra la alerta técnica más reciente de CrowdStrike con más información sobre el problema y los pasos de resolución que pueden tomar las organizaciones. Continuaremos brindando actualizaciones a nuestra comunidad y a la industria a medida que estén disponibles.
resumen
detalles
- Los síntomas incluyen que los hosts experimenten un error de verificación de error/pantalla azul relacionado con el sensor Falcon.
- Los hosts de Windows no afectados no requieren ninguna acción ya que el archivo del canal problemático ha sido restaurado.
- Los hosts de Windows que se conecten a Internet después de las 0527 UTC tampoco se verán afectados
- Este problema no afecta a los hosts que ejecutan Mac o Linux.
- El archivo de canal «C-00000291*.sys» con una etiqueta de tiempo de 0527 UTC o posterior es la versión devuelta (buena).
- El archivo de canal «C-00000291*.sys» con una etiqueta de tiempo de 0409 UTC es la versión que presenta el problema.
- Nota: Es normal tener varios archivos «C-00000291*.sys» en el directorio de CrowdStrike, siempre y cuando Uno Si un archivo en la carpeta tiene una etiqueta de tiempo de 0527 UTC o posterior, este será el contenido activo.
Acción actual
- CrowdStrike Engineering pudo identificar la publicación de contenido relacionado con este tema y revertir esos cambios.
- Si los hosts continúan fallando y no pueden permanecer en línea para recibir cambios en los archivos del canal, es posible seguir los pasos alternativos que se indican a continuación.
- Aseguramos a nuestros clientes que CrowdStrike se está ejecutando normalmente y este problema no afecta nuestros sistemas de plataforma FalconSi sus sistemas funcionan normalmente, no habrá ningún impacto en su protección si se instala un sensor Falcon. Los servicios Falcon Complete y OverWatch no se ven afectados por este incidente.
Consulta para identificar los hosts afectados mediante búsqueda avanzada de eventos
Consulte este artículo de la base de conocimientos: Cómo identificar hosts que pueden verse afectados por una falla de Windows (archivo pdf) o Inicie sesión para ver el portal de soporte.
Panel
De manera similar a la consulta mencionada anteriormente, ahora hay disponible un panel que muestra los canales afectados, los ID de los clientes y los sensores afectados. Dependiendo de sus suscripciones, está disponible en el menú de la consola de:
- SIEM de próxima generación > Panel de control o;
- Investigación > Paneles de control
- Su nombre es: hosts_possively_impacted_by_windows_crashes
Nota: El panel no se puede utilizar con el botón En vivo
Artículos de recuperación automática:
Consulte este artículo: Recuperación automática de pantalla azul en instancias de Windows en GCP (pdf) o Inicie sesión para ver el portal de soporte.
Pasos de solución para hosts individuales:
- Reinicie la máquina host para darle la oportunidad de descargar el archivo del canal de retorno. Recomendamos encarecidamente colocar el dispositivo host en una red cableada (en lugar de WiFi) antes de reiniciar, ya que el dispositivo host podrá obtener una conexión a Internet más rápida a través de Ethernet.
- Si el host vuelve a caer, entonces:
- Inicie Windows en modo seguro o en el entorno de recuperación de Windows
- Nota: Colocar el host en una red cableada (a diferencia de WiFi) y usar el Modo seguro con redes puede ayudar a resolver el problema.
- Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike
- La recuperación de Windows tiene por defecto X:\windows\system32
- Navegue primero a la partición apropiada (el valor predeterminado es C:\) y navegue al directorio de crowdstrike:
- A:
- cd windows\system32\drivers\crowdstrike
- Nota: En WinRE/WinPE, vaya al directorio Windows\System32\drivers\CrowdStrike de la carpeta del sistema operativo.
- Seleccione el archivo correspondiente a “C-00000291*.sys” y elimínelo.
- No Eliminar o cambiar cualquier otro archivo o carpeta
- Arranque en frío el host
- Apagar el host.
- Inicie el host desde el estado detenido.
Nota: Los hosts cifrados con BitLocker pueden requerir una clave de recuperación.
Pasos para trabajar con una nube pública o un entorno similar, incluida la virtualización:
Opción 1:
- Desconecte el volumen de disco del sistema operativo del servidor virtual afectado
- Cree una instantánea o una copia de seguridad del volumen del disco antes de continuar como medida de precaución contra cambios no deseados.
- Vincular/montar el volumen a un nuevo servidor virtual
- Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike
- Seleccione el archivo correspondiente a “C-00000291*.sys” y elimínelo.
- Desconectar el volumen del nuevo servidor virtual
- Vuelva a conectar el volumen persistente al servidor virtual afectado
Opcion 2:
- Volver a una instantánea anterior a las 0409 UTC.
Documentación de AWS:
Entornos de Azure:
Clave de recuperación de acceso de usuario en el portal de Workspace ONE
Cuando esta configuración está habilitada, los usuarios pueden recuperar su clave de recuperación de BitLocker desde el portal de Workspace ONE sin tener que comunicarse con el Centro de ayuda para obtener ayuda. Para activar la clave de recuperación en el portal de Workspace ONE, siga estos pasos. Por favor mira esto articulo omnisa para más información.
Administrar el cifrado de Windows a través de Tanium
Recuperación de Bitlocker a través de Citrix
Base de conocimientos de recuperación de BitLocker:
Recursos adicionales:
«Estudiante. Organizador sutilmente encantador. Defensor certificado de la música. Escritor. Alborotador de toda la vida. Amante de Twitter».
More Stories
El último hundimiento del yate bayesiano: la esposa de Mike Lynch ‘no quería dejar el barco sin su familia’ mientras la tripulación se somete a una investigación
Un huracán azota la isla japonesa de Kyushu, matando a tres personas y afectando a aerolíneas y fábricas
Namibia matará elefantes, cebras e hipopótamos y dará su carne a los afectados por la sequía