- 20,200
- 46
- 8 Ноя 2022
Инструкция и советы по восстановлению системы.
CrowdStrike активно работает с клиентами, пострадавшими от дефекта в одном из обновлений для Windows -хостов. Хосты на Mac и Linux не затронуты. Важно отметить, что происшествие не является кибератакой.
Проблема выявлена, изолирована, и решение уже развернуто. Клиентам рекомендуется посетить портал поддержки для получения последних обновлений и следить за обновлениями на блоге компании .
Организациям следует общаться с представителями CrowdStrike через официальные каналы.
Команда CrowdStrike полностью мобилизована для обеспечения безопасности и стабильности клиентских систем. Компания осознает серьезность ситуации и приносит извинения за неудобства и перебои. CrowdStrike сотрудничает со всеми пострадавшими клиентами для восстановления систем и возобновления предоставления услуг.
CrowdStrike подтверждает нормальное функционирование платформы Falcon. Проблема не влияет на системы платформы. При нормальной работе систем установка Falcon Sensor не повлияет на их защиту.
Представлен технический отчет с дополнительной информацией о проблеме и шагами по устранению для организаций. Компания продолжит предоставлять обновления сообществу и индустрии по мере их появления.
<h2>Текущие действия</h2>
<h2>Панель мониторинга</h2> Доступна панель мониторинга, отображающая затронутые каналы, CID и сенсоры. В зависимости от подписок, панель доступна в меню консоли:
<h2>Автоматизированные статьи по восстановлению:</h2> Ознакомьтесь с этой статьей (pdf) .
<h3>Шаги по устранению для отдельных хостов:</h3>
<h3>Шаги по устранению для публичного облака или аналогичной среды:</h3> <h4>Вариант 1:</h4>
CrowdStrike активно работает с клиентами, пострадавшими от дефекта в одном из обновлений для Windows -хостов. Хосты на Mac и Linux не затронуты. Важно отметить, что происшествие не является кибератакой.
Проблема выявлена, изолирована, и решение уже развернуто. Клиентам рекомендуется посетить портал поддержки для получения последних обновлений и следить за обновлениями на блоге компании .
Организациям следует общаться с представителями CrowdStrike через официальные каналы.
Команда CrowdStrike полностью мобилизована для обеспечения безопасности и стабильности клиентских систем. Компания осознает серьезность ситуации и приносит извинения за неудобства и перебои. CrowdStrike сотрудничает со всеми пострадавшими клиентами для восстановления систем и возобновления предоставления услуг.
CrowdStrike подтверждает нормальное функционирование платформы Falcon. Проблема не влияет на системы платформы. При нормальной работе систем установка Falcon Sensor не повлияет на их защиту.
Представлен технический отчет с дополнительной информацией о проблеме и шагами по устранению для организаций. Компания продолжит предоставлять обновления сообществу и индустрии по мере их появления.
- Симптомы включают ошибку bugcheck\blue screen, связанную с Falcon Sensor.
- Windows-хосты, не затронутые проблемой, не требуют действий, так как проблемный файл канала возвращен к предыдущей версии.
- Windows-хосты, подключенные после 0527 UTC, также не будут затронуты.
- Проблема не затрагивает хосты на Mac или Linux.
- Файл канала "C-00000291*.sys" с временной меткой 0527 UTC или позже является исправленной версией.
- Файл канала "C-00000291*.sys" с временной меткой 0409 UTC является проблемной версией.
<h2>Текущие действия</h2>
- Инженеры CrowdStrike выявили, что развертывание контента связано с проблемой, и вернули изменения.
- Если хосты продолжают сбоить и не могут оставаться в сети для получения изменений файла канала, можно использовать приведенные ниже шаги по устранению.
- CrowdStrike подтверждает нормальное функционирование. Проблема не влияет на системы платформы Falcon. При нормальной работе систем установка Falcon Sensor не повлияет на их защиту. Услуги Falcon Complete и OverWatch не нарушены инцидентом.
<h2>Панель мониторинга</h2> Доступна панель мониторинга, отображающая затронутые каналы, CID и сенсоры. В зависимости от подписок, панель доступна в меню консоли:
- Next-GEN SIEM > Dashboard или;
- Investigate > Dashboards
- Название: hosts_possibly_impacted_by_windows_crashes
<h2>Автоматизированные статьи по восстановлению:</h2> Ознакомьтесь с этой статьей (pdf) .
<h3>Шаги по устранению для отдельных хостов:</h3>
- Перезагрузите хост для загрузки возвращенного файла канала. Рекомендуется подключить хост к проводной сети перед перезагрузкой для более быстрого подключения к интернету.
- Если хост снова сбоит:
- <li>Загрузите Windows в безопасном режиме или в среде восстановления Windows
- Перейдите в директорию %WINDIR%\System32\drivers\CrowdStrike
- Найдите файл "C-00000291*.sys" и удалите его
- Полностью перезагрузите хост (выключите и запустите из выключенного состояния)
<h3>Шаги по устранению для публичного облака или аналогичной среды:</h3> <h4>Вариант 1:</h4>
- Отключите том диска операционной системы от затронутого виртуального сервера
- Создайте снимок или резервную копию тома диска
- Подключите том к новому виртуальному серверу
- Перейдите в директорию %WINDIR%\System32\drivers\CrowdStrike
- Найдите файл "C-00000291*.sys" и удалите его
- Отключите том от нового виртуального сервера
- Подключите исправленный том к затронутому виртуальному серверу
- Вернитесь к снимку, сделанному до 0409 UTC.
- Источник новости
- www.securitylab.ru
