Falcon Sensor da CrowdStrike Causa Problemas de BSOD: Soluções e Atualizações

A CrowdStrike, uma provedora líder de tecnologia de segurança cibernética, oferece serviços de segurança para endpoints, cargas de trabalho em nuvem, identidade e dados. Com a confiança de mais de 298 das Fortune 500, 43 estados dos EUA, 6 dos 10 principais provedores de saúde e 8 das 10 principais empresas de serviços financeiros, a CrowdStrike é uma empresa de destaque no setor.

Sua plataforma Falcon é uma solução de segurança unificada e entregue na nuvem, projetada para evitar todos os tipos de ataques, incluindo malware e além. No entanto, uma atualização recente do agente Falcon Sensor no Windows desencadeou um problema crítico: um loop de inicialização de Tela Azul da Morte (BSOD) que torna os sistemas afetados inutilizáveis. Esse problema generalizado interrompeu as operações em vários setores, impactando notavelmente companhias aéreas, bancos e provedores de saúde.

A CrowdStrike reconheceu o problema e interrompeu a implantação da atualização defeituosa. Um alerta enviado aos usuários confirma que eles estão cientes de travamentos em hosts Windows relacionados ao Falcon Sensor, especificamente erros de verificação de bugs/tela azul. Infelizmente, uma solução oficial para recuperar PCs Windows pegos no loop de inicialização BSOD continua indefinida. Existem várias soluções alternativas para corrigir o problema, leia sobre elas abaixo.

Solução Alternativa Oficial para o Problema de BSOD do CrowdStrike em PCs com Windows:

  1. Inicialize seu PC Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
  2. Vá para C:\Windows\System32\drivers\CrowdStrike.
  3. Localize e exclua o arquivo correspondente a "C-00000291*.sys".
  4. Inicialize normalmente.

Outra Maneira de Impedir que o CrowdStrike Seja Iniciado:

Método 1:

  1. Acesse o Prompt de Comando nas opções de Recuperação.
  2. Navegue até C:\Windows\System32\Drivers.
  3. Renomeie CrowdStrike para Crowdstrike_Old.
  4. Reinicie o PC.

Método 2:

  1. Inicialize seu PC Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
  2. Vá para o Registro do Windows.
  3. Edite a seguinte chave para desabilitar o carregamento do csagent.sys: HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Comece de 1 a 4.

Se Você Estiver Executando o Windows em uma Instância AWS EC2, Tente o Seguinte Método:

  1. Desanexe o volume EBS do EC2 impactado.
  2. Anexe o volume EBS a um novo EC2.
  3. Corrija a pasta do driver CrowdStrike de acordo com a solução alternativa sugerida pela CrowdStrike.
  4. Desanexe o volume EBS da nova instância EC2.
  5. Anexe o volume EBS à instância EC2 impactada.

O método acima também pode ser aplicado para instâncias do Windows em execução no Google Cloud Platform.

Atualização 1:

O CEO da CrowdStrike, George Kurtz, tuitou o seguinte em resposta às interrupções causadas pela CrowdStrike:

“A CrowdStrike está trabalhando ativamente com clientes impactados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows. Hosts Mac e Linux não são impactados. Este não é um incidente de segurança ou ataque cibernético. O problema foi identificado, isolado e uma correção foi implantada. Nós…”
— George Kurtz (@George_Kurtz) 19 de julho de 2024.

Resumo Oficial dos Detalhes Publicados pela CrowdStrike:

Resumo:

A CrowdStrike está ciente de relatos de falhas em hosts Windows relacionadas ao Falcon Sensor.

Detalhes:

  • Os sintomas incluem hosts enfrentando um erro de verificação de bug/tela azul relacionado ao sensor Falcon.
  • Os hosts Windows que não foram afetados não precisam de nenhuma ação, pois o arquivo de canal problemático foi revertido.
  • Os hosts do Windows que forem colocados online após 0527 UTC também não serão afetados.
  • Os hosts que executam o Windows 7/2008 R2 não são afetados.
  • Este problema não está afetando hosts baseados em Mac ou Linux.
  • O arquivo de canal "C-00000291*.sys" com registro de data e hora de 0527 UTC ou posterior é a versão revertida (boa).
  • O arquivo de canal "C-00000291*.sys" com registro de data e hora 0409 UTC é a versão problemática.

Ação Atual:

A CrowdStrike Engineering identificou uma implantação de conteúdo relacionada a esse problema e reverteu essas alterações. Se os hosts ainda estiverem travando e não conseguirem permanecer online para receber as alterações do arquivo de canal, as seguintes etapas podem ser usadas para contornar esse problema:

Etapas de Solução Alternativa para Hosts Individuais:

  1. Reinicie o host para dar a ele uma oportunidade de baixar o arquivo de canal revertido. Se o host travar novamente, então:
  2. Observação: hosts criptografados pelo Bitlocker podem exigir uma chave de recuperação.
  3. Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
  4. OBSERVAÇÃO: Colocar o host em uma rede com fio (em vez de WiFi) e usar o Modo de segurança com rede pode ajudar na correção.
  5. Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike.
  6. Localize o arquivo correspondente a "C-00000291*.sys" e exclua-o.
  7. Inicialize o host normalmente.

Etapas de Solução Alternativa para Nuvem Pública ou Ambiente Semelhante, Incluindo Virtual:

Opção 1:
  1. Desanexe o volume do disco do sistema operacional do servidor virtual afetado.
  2. Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais.
  3. Anexe/montar o volume em um novo servidor virtual.
  4. Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike.
  5. Localize o arquivo correspondente a "C-00000291*.sys" e exclua-o.
  6. Desanexe o volume do novo servidor virtual.
  7. Reconecte o volume fixo ao servidor virtual impactado.
Opção 2:
  1. Reverta para um instantâneo anterior a 0409 UTC.

Documentação Específica da AWS:

Ambientes do Azure:

KBs Relacionados à Recuperação do Bitlocker:

Fonte: CrowdStrike

Deixe seu comentário