A CrowdStrike, uma provedora líder de tecnologia de segurança cibernética, oferece serviços de segurança para endpoints, cargas de trabalho em nuvem, identidade e dados. Com a confiança de mais de 298 das Fortune 500, 43 estados dos EUA, 6 dos 10 principais provedores de saúde e 8 das 10 principais empresas de serviços financeiros, a CrowdStrike é uma empresa de destaque no setor.
Sua plataforma Falcon é uma solução de segurança unificada e entregue na nuvem, projetada para evitar todos os tipos de ataques, incluindo malware e além. No entanto, uma atualização recente do agente Falcon Sensor no Windows desencadeou um problema crítico: um loop de inicialização de Tela Azul da Morte (BSOD) que torna os sistemas afetados inutilizáveis. Esse problema generalizado interrompeu as operações em vários setores, impactando notavelmente companhias aéreas, bancos e provedores de saúde.
A CrowdStrike reconheceu o problema e interrompeu a implantação da atualização defeituosa. Um alerta enviado aos usuários confirma que eles estão cientes de travamentos em hosts Windows relacionados ao Falcon Sensor, especificamente erros de verificação de bugs/tela azul. Infelizmente, uma solução oficial para recuperar PCs Windows pegos no loop de inicialização BSOD continua indefinida. Existem várias soluções alternativas para corrigir o problema, leia sobre elas abaixo.
Solução Alternativa Oficial para o Problema de BSOD do CrowdStrike em PCs com Windows:
- Inicialize seu PC Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
- Vá para
C:\Windows\System32\drivers\CrowdStrike. - Localize e exclua o arquivo correspondente a
"C-00000291*.sys". - Inicialize normalmente.
Outra Maneira de Impedir que o CrowdStrike Seja Iniciado:
Método 1:
- Acesse o Prompt de Comando nas opções de Recuperação.
- Navegue até
C:\Windows\System32\Drivers. - Renomeie
CrowdStrikeparaCrowdstrike_Old. - Reinicie o PC.
Método 2:
- Inicialize seu PC Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
- Vá para o Registro do Windows.
- Edite a seguinte chave para desabilitar o carregamento do
csagent.sys:HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Comece de 1 a 4.
Se Você Estiver Executando o Windows em uma Instância AWS EC2, Tente o Seguinte Método:
- Desanexe o volume EBS do EC2 impactado.
- Anexe o volume EBS a um novo EC2.
- Corrija a pasta do driver CrowdStrike de acordo com a solução alternativa sugerida pela CrowdStrike.
- Desanexe o volume EBS da nova instância EC2.
- Anexe o volume EBS à instância EC2 impactada.
O método acima também pode ser aplicado para instâncias do Windows em execução no Google Cloud Platform.
Atualização 1:
O CEO da CrowdStrike, George Kurtz, tuitou o seguinte em resposta às interrupções causadas pela CrowdStrike:
“A CrowdStrike está trabalhando ativamente com clientes impactados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows. Hosts Mac e Linux não são impactados. Este não é um incidente de segurança ou ataque cibernético. O problema foi identificado, isolado e uma correção foi implantada. Nós…”
— George Kurtz (@George_Kurtz) 19 de julho de 2024.
Resumo Oficial dos Detalhes Publicados pela CrowdStrike:
Resumo:
A CrowdStrike está ciente de relatos de falhas em hosts Windows relacionadas ao Falcon Sensor.
Detalhes:
- Os sintomas incluem hosts enfrentando um erro de verificação de bug/tela azul relacionado ao sensor Falcon.
- Os hosts Windows que não foram afetados não precisam de nenhuma ação, pois o arquivo de canal problemático foi revertido.
- Os hosts do Windows que forem colocados online após 0527 UTC também não serão afetados.
- Os hosts que executam o Windows 7/2008 R2 não são afetados.
- Este problema não está afetando hosts baseados em Mac ou Linux.
- O arquivo de canal
"C-00000291*.sys"com registro de data e hora de 0527 UTC ou posterior é a versão revertida (boa). - O arquivo de canal
"C-00000291*.sys"com registro de data e hora 0409 UTC é a versão problemática.
Ação Atual:
A CrowdStrike Engineering identificou uma implantação de conteúdo relacionada a esse problema e reverteu essas alterações. Se os hosts ainda estiverem travando e não conseguirem permanecer online para receber as alterações do arquivo de canal, as seguintes etapas podem ser usadas para contornar esse problema:
Etapas de Solução Alternativa para Hosts Individuais:
- Reinicie o host para dar a ele uma oportunidade de baixar o arquivo de canal revertido. Se o host travar novamente, então:
- Observação: hosts criptografados pelo Bitlocker podem exigir uma chave de recuperação.
- Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
- OBSERVAÇÃO: Colocar o host em uma rede com fio (em vez de WiFi) e usar o Modo de segurança com rede pode ajudar na correção.
- Navegue até o diretório
%WINDIR%\System32\drivers\CrowdStrike. - Localize o arquivo correspondente a
"C-00000291*.sys"e exclua-o. - Inicialize o host normalmente.
Etapas de Solução Alternativa para Nuvem Pública ou Ambiente Semelhante, Incluindo Virtual:
Opção 1:
- Desanexe o volume do disco do sistema operacional do servidor virtual afetado.
- Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais.
- Anexe/montar o volume em um novo servidor virtual.
- Navegue até o diretório
%WINDIR%\System32\drivers\CrowdStrike. - Localize o arquivo correspondente a
"C-00000291*.sys"e exclua-o. - Desanexe o volume do novo servidor virtual.
- Reconecte o volume fixo ao servidor virtual impactado.
Opção 2:
Documentação Específica da AWS:
Ambientes do Azure:
KBs Relacionados à Recuperação do Bitlocker:
- Recuperação do BitLocker no Microsoft Azure
- Recuperação do BitLocker em ambientes Microsoft usando SCCM
- Recuperação do BitLocker em ambientes Microsoft usando Active Directory e GPOs
- Recuperação do BitLocker em ambientes Microsoft usando Ivanti Endpoint Manager
Fonte: CrowdStrike
