actualización de contenido de Falcon para los anfitriones de Windows
ANTES QUE NADA RECUERDEN NIÑOS QUE NO FUE WINDOWS EL DEL ERROR... OK......
Actualizado 5:39am ET, 20 de julio 2024
CrowdStrike está trabajando activamente con los clientes afectados por un defecto que se encuentra en una sola actualización de contenido para los hosts de Windows. Los huésmos de Mac y Linux no se impactan. Esto no fue un ciberataque.
El problema ha sido identificado, aislado y se ha desplegado una solución.
Estamos remitiendo a los clientes al portal de soporte para las últimas actualizaciones y seguiremos proporcionando actualizaciones públicas completas y continuas en nuestro blog.
Recomendamos además a las organizaciones que se comuniquen con los representantes de CrowdStrike a través de canales oficiales.
Nuestro equipo está totalmente movilizado para garantizar la seguridad y estabilidad de los clientes de CrowdStrike.
Entendemos la gravedad de la situación y lamentamos profundamente las molestias y la perturbación. Estamos trabajando con todos los clientes afectados para asegurar que los sistemas estén de vuelta y puedan ofrecer los servicios con los que sus clientes están contando.
Aseguramos a nuestros clientes que CrowdStrike está operando con normalidad y este problema no afecta a nuestros sistemas de plataformas Falcon. Si sus sistemas funcionan normalmente, no hay impacto en su protección si el sensor Falcon está instalado.
A continuación se encuentra la última alerta de tecnología de CrowdStrike con más información sobre el tema y pasos de solución que las organizaciones pueden tomar. Seguiremos proporcionando actualizaciones a nuestra comunidad y a la industria a medida que estén disponibles.
Resumen
CrowdStrike está al tanto de los informes de accidentes en hosts de Windows relacionados con el sensor Falcon.
Detalles
Los síntomas incluyen huésmos que experimentan un error de pantalla bugcheck-blue relacionado con el sensor Falcon.
Los hosts de Windows que no han sido afectados no requieren ninguna acción, ya que el archivo de canal problemático se ha revertido.
Los anfitriones de Windows que se traídon en línea después de 0527 UTC tampoco se verá afectado
Este tema no está afectando a los anfitriones basados en Mac o Linux
Archivo de canal "C-00000291*.sys" con la marca de tiempo 0527 UTC o posterior es la versión revertido (buen).
Archivo de canal "C-00000291*.sys" con marca de tiempo de 0409 UTC es la versión problemática.
Nota: Es normal que varios archivos "C-00000291*.sys estén presentes en el directorio CrowdStrike - siempre y cuando uno de los archivos de la carpeta tenga una estampida de 0527 UTC o posterior, que será el contenido activo.
Acción en curso
CrowdStrike Engineering ha identificado un despliegue de contenido relacionado con este problema y ha revertido esos cambios.
Si los anfitriones siguen cayándose y no pueden permanecer en línea para recibir los cambios de archivo de canales, los pasos de solución a continuación se pueden utilizar.
Aseguramos a nuestros clientes que CrowdStrike está operando con normalidad y este problema no afecta a nuestros sistemas de plataformas Falcon. Si sus sistemas funcionan normalmente, no hay impacto en su protección si el sensor Falcon está instalado. Los servicios de Falcon Complete y OverWatch no se ven perturbados por este incidente.
Consulta para identificar a los anfitriones afectados a través de Búsqueda de eventos avanzadas
Consulte este artículo de KB: Cómo identificar hosts posiblemente impactados por los fallos de Windows (pdf) o iniciar sesión para ver en el portal de soporte.
Dashboard
Al igual que la consulta antes mencionada, ahora está disponible un tablero que muestra canales impactados y CIDs y sensores impactados. Dependiendo de sus suscripciones, está disponible en el menú de la Consola en:
Next-GEN SIEM - Dashboard o;
Investiborizar . Dashboards
Nombrado como: hosts.posiblemente.impacted-bywindowdowdows.crashess
Nota: El tablero no se puede utilizar con el botón "Vivo)
Artículos de recuperación automatizados:
Consulte este artículo: Recuperación automatizada de pantalla azul en instancias de Windows en GCP (pdf) o inicie sesión para ver en el portal de soporte.
Pasos de solución para pc individuales:
Reinicie el host para darle la oportunidad de descargar el archivo de canal revertido. Recomendamos encarecidamente poner al host en una red por cable (a diferencia de WiFi) antes de reiniciar, ya que el host adquirirá conectividad a Internet considerablemente más rápida a través de ethernet.
Si el huésco vuelve a chocar, entonces:
Arbade Windows en modo seguro o en el entorno de recuperación de Windows
NOTA: Poner el host en una red por cable (a diferencia de WiFi) y usar modo seguro con red puede ayudar a la rehabilitación.
Navegue al directorio %WINDIR%-System32-drivers-CrowdStrike
Ventanas Renta de la recuperación de Windows a X:-windows-system32
Navegue primero a la partición apropiada (por defecto es C:), y navegue al directorio crowdstrike:
C:
ventanas de cd.system32.drivers.crowdstrike
Nota: En WinRE/WinPE, navegue al directorio de Windows-System32-drivers-CrowdStrike del volumen del sistema operativo
Localiza el archivo que coins con el .C-00000291*.sys y borrarlo.
No elimine ni cambie ningún otro archivo o carpetas
Cold Boot el anfitrión
Cierra al anfitrión.
Empieza a ser anfitrión del estado.
Nota: Los huésmos cifrados en BitLocker pueden requerir una clave de recuperación.
No hay comentarios:
Publicar un comentario