Alerta técnico | Falhas do Windows relacionadas ao Falcon Sensor
A CrowdStrike está trabalhando ativamente com clientes afetados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows nesta sexta-feira (19 de julho). Os hosts Mac e Linux não são afetados. Este não é um incidente de segurança ou ataque cibernético.
O problema foi identificado, isolado e uma correção foi implantada. Neste alerta, vamos detalhar como solucionar o problema.
Principais tópicos deste artigo
Detalhes
- Os sintomas incluem hosts enfrentando um erro de verificação de bug\tela azul relacionado ao sensor Falcon.
- Os hosts Windows que não foram afetados não precisam de nenhuma ação, pois o arquivo de canal problemático foi revertido.
- Os hosts do Windows que forem colocados online após 05:27 UTC também não serão afetados.
- Este problema não está afetando hosts baseados em Mac ou Linux.
- O arquivo de canal “C-00000291*.sys” com registro de data e hora de 05:27 UTC ou posterior é a versão revertida (boa).
- O arquivo de canal “C-00000291*.sys” com registro de data e hora 04:09 UTC é a versão problemática.
Ação atual
A CrowdStrike Engineering identificou uma implantação de conteúdo relacionada a esse problema e reverteu essas alterações.
Se os hosts ainda estiverem travando e não conseguirem permanecer online para receber as alterações do arquivo de canal, as seguintes etapas podem ser usadas para contornar esse problema:
Etapas de solução alternativa para hosts individuais
Reinicie o host para dar a ele uma oportunidade de baixar o arquivo de canal revertido. Se o host travar novamente, então:
- Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
- Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
- Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Inicialize o host normalmente.
Observação: hosts criptografados pelo Bitlocker podem exigir uma chave de recuperação.
Etapas de solução alternativa para hosts individuais
Opção 1
- Desanexe o volume do disco do sistema operacional do servidor virtual afetado.
- Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais.
- Anexar/montar o volume em um novo servidor virtual.
- Navegue até o diretório %WINDIR%\\System32\drivers\CrowdStrike
- Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
- Desanexe o volume do novo servidor virtual.
- Reconecte o volume fixo ao servidor virtual impactado.
Opção 2
- Reverta para um snapshot anterior a 04:09 UTC.
Etapas de solução alternativa para o Azure via serial
- Efetue login no console do Azure –> Vá para Máquinas Virtuais –> Selecione a VM
- Canto superior esquerdo no console –> Clique em: “Conectar” –> Clique em –> Conectar –> Clique em “Mais maneiras de conectar” –> Clique em: “Console serial”
- Etapa 3: Depois que o SAC for carregado, digite ‘cmd’ e pressione Enter.
a. digite o comando ‘cmd’
b. digite em: ch -si - Pressione qualquer tecla (barra de espaço). Insira as credenciais do administrador
- Digite o seguinte:
a. bcdedit /set {atual} inicialização segura mínima
b. bcdedit /set {atual} rede safeboot - Reiniciar VM
- Opcional: Como confirmar o estado de inicialização? Execute o comando:
- wmic COMPUTERSYSTEM GET BootupState
Para obter informações adicionais, consulte este artigo da Microsoft.
- wmic COMPUTERSYSTEM GET BootupState