Alerta técnico | Falhas do Windows relacionadas ao Falcon Sensor

A CrowdStrike está trabalhando ativamente com clientes afetados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows nesta sexta-feira (19 de julho). Os hosts Mac e Linux não são afetados. Este não é um incidente de segurança ou ataque cibernético.

O problema foi identificado, isolado e uma correção foi implantada. Neste alerta, vamos detalhar como solucionar o problema.

Principais tópicos deste artigo

Detalhes

  • Os sintomas incluem hosts enfrentando um erro de verificação de bug\tela azul relacionado ao sensor Falcon.
  • Os hosts Windows que não foram afetados não precisam de nenhuma ação, pois o arquivo de canal problemático foi revertido.
  • Os hosts do Windows que forem colocados online após 05:27 UTC também não serão afetados.
  • Este problema não está afetando hosts baseados em Mac ou Linux.
  • O arquivo de canal “C-00000291*.sys” com registro de data e hora de 05:27 UTC ou posterior é a versão revertida (boa).
  • O arquivo de canal “C-00000291*.sys” com registro de data e hora 04:09 UTC é a versão problemática.

Ação atual

A CrowdStrike Engineering identificou uma implantação de conteúdo relacionada a esse problema e reverteu essas alterações.

Se os hosts ainda estiverem travando e não conseguirem permanecer online para receber as alterações do arquivo de canal, as seguintes etapas podem ser usadas para contornar esse problema:

Etapas de solução alternativa para hosts individuais

Reinicie o host para dar a ele uma oportunidade de baixar o arquivo de canal revertido. Se o host travar novamente, então:

  • Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
  • Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
  • Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
  • Inicialize o host normalmente.

Observação: hosts criptografados pelo Bitlocker podem exigir uma chave de recuperação.

Etapas de solução alternativa para hosts individuais

Opção 1

  • Desanexe o volume do disco do sistema operacional do servidor virtual afetado.
  • Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais.
  • Anexar/montar o volume em um novo servidor virtual.
  • Navegue até o diretório %WINDIR%\\System32\drivers\CrowdStrike
  • Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
  • Desanexe o volume do novo servidor virtual.
  • Reconecte o volume fixo ao servidor virtual impactado.

Opção 2

  • Reverta para um snapshot anterior a 04:09 UTC.

Etapas de solução alternativa para o Azure via serial

  • Efetue login no console do Azure –> Vá para Máquinas Virtuais –> Selecione a VM
  • Canto superior esquerdo no console –> Clique em: “Conectar” –> Clique em –> Conectar –> Clique em “Mais maneiras de conectar” –> Clique em: “Console serial”
  • Etapa 3: Depois que o SAC for carregado, digite ‘cmd’ e pressione Enter.
    a. digite o comando ‘cmd’
    b. digite em: ch -si
  • Pressione qualquer tecla (barra de espaço). Insira as credenciais do administrador
  • Digite o seguinte:
    a. bcdedit /set {atual} inicialização segura mínima
    b. bcdedit /set {atual} rede safeboot
  • Reiniciar VM
  • Opcional: Como confirmar o estado de inicialização? Execute o comando:

Receba Notícias

Artigos Mais Recentes