Świat

Centrum naprawcze i wskazówek dotyczące aktualizacji treści Falcon

oen.pl

  • 20 lipca, 2024
  • 6 min read
Centrum naprawcze i wskazówek dotyczące aktualizacji treści Falcon


Zaktualizowano 2024-07-21 0023 UTC

CrowdStrike aktywnie pomaga klientom dotkniętym wadą ostatniej aktualizacji treści dla hostów Windows. Hosty Mac i Linux nie zostały dotknięte. Problem został zidentyfikowany i odizolowany, a poprawka została wdrożona. Nie był to cyberatak.

Klienci powinni sprawdzić portal pomocy technicznej pod kątem aktualizacji. Będziemy również nadal dostarczać najnowsze informacje tutaj i na naszym blogu, gdy będą dostępne. Zalecamy organizacjom sprawdzenie, czy komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.

Zapewniamy naszych klientów, że CrowdStrike działa normalnie i ten problem nie ma wpływu na nasze systemy platformy Falcon. Jeśli Twoje systemy działają normalnie, nie ma to wpływu na ich ochronę, jeśli zainstalowany jest czujnik Falcon.

Rozumiemy powagę tej sytuacji i głęboko przepraszamy za niedogodności i zakłócenia. Nasz zespół jest w pełni zmobilizowany, aby zapewnić bezpieczeństwo i stabilność klientów CrowdStrike.

Oświadczenie naszego dyrektora generalnego

Wysłano 2024-07-19 1930 UTC

Szanowni Klienci i Partnerzy,

Chcę szczerze przeprosić wszystkich za awarię. Wszyscy w CrowdStrike rozumieją powagę i wpływ sytuacji. Szybko zidentyfikowaliśmy problem i wdrożyliśmy poprawkę, co pozwoliło nam skupić się pilnie na przywracaniu systemów klientów jako naszym najwyższym priorytecie.

Awaria została spowodowana przez defekt znaleziony w aktualizacji zawartości Falcon dla hostów Windows. Hosty Mac i Linux nie są dotknięte. Nie był to cyberatak.

Współpracujemy ściśle z klientami i partnerami, których dotyczy awaria, aby mieć pewność, że wszystkie systemy zostaną przywrócone, tak abyście mogli świadczyć usługi, na których polegają Wasi klienci.

Warto przeczytać!  Yair Netanjahu nazywa antyrządowych demonstrantów „terrorystami” po starciu w salonie

CrowdStrike działa normalnie, a ten problem nie wpływa na nasze systemy platformy Falcon. Nie ma to wpływu na żadną ochronę, jeśli zainstalowany jest czujnik Falcon. Usługi Falcon Complete i Falcon OverWatch nie są zakłócane.

Będziemy zapewniać ciągłe aktualizacje za pośrednictwem naszego Portalu Wsparcia pod adresem

Zmobilizowaliśmy cały CrowdStrike, aby pomóc Tobie i Twoim zespołom. Jeśli masz pytania lub potrzebujesz dodatkowego wsparcia, skontaktuj się z przedstawicielem CrowdStrike lub działem pomocy technicznej.

Wiemy, że przeciwnicy i źli aktorzy będą próbowali wykorzystać takie wydarzenia. Zachęcam wszystkich do zachowania czujności i upewnienia się, że współpracujecie z oficjalnymi przedstawicielami CrowdStrike. Nasz blog i wsparcie techniczne nadal będą oficjalnymi kanałami najnowszych aktualizacji.

Nic nie jest dla mnie ważniejsze niż zaufanie i pewność, jakie nasi klienci i partnerzy włożyli w CrowdStrike. Podczas rozwiązywania tego incydentu zobowiązuję się zapewnić pełną przejrzystość w kwestii tego, jak do tego doszło, oraz kroków, jakie podejmujemy, aby zapobiec ponownemu wystąpieniu czegoś podobnego.

George Kurtz

Założyciel i dyrektor generalny CrowdStrike

Szczegóły techniczne

  • Szczegóły techniczne dotyczące przerwy w dostawie prądu można znaleźć tutaj: Przeczytaj blog Opublikowano 2024-07-19 0100 UTC
  • Zapewniamy naszych klientów, że CrowdStrike działa normalnie i ten problem nie dotyczy naszych systemów platformy Falcon. Jeśli Twoje systemy działają normalnie, nie ma to wpływu na ich ochronę, jeśli zainstalowany jest czujnik Falcon. Usługi Falcon Complete i Overwatch nie są zakłócane przez ten incydent.
  • CrowdStrike zidentyfikował wyzwalacz tego problemu jako wdrożenie zawartości związanej z czujnikiem Windows i cofnęliśmy te zmiany. Zawartość to plik kanału znajdujący się w katalogu %WINDIR%\System32\drivers\CrowdStrike.
    • Plik kanału „C-00000291*.sys” ze znacznikiem czasu 2024-07-19 0527 UTC lub nowszym jest wersją przywróconą (dobrą).
    • Problematyczna jest wersja pliku kanału „C-00000291*.sys” ze znacznikiem czasu 2024-07-19 0409 UTC.
    • Uwaga: Obecność wielu plików „C-00000291*.sys” w katalogu CrowdStrike jest normalna – pod warunkiem, że jeden plików w folderze ma znacznik czasu 05:27 UTC lub późniejszy, będzie to aktywna zawartość.
  • Objawy obejmują występowanie na hostach błędu bugcheck\niebieskiego ekranu związanego z czujnikiem Falcon.
  • Hosty Windows, które mają nie nie wymagają żadnych działań, ponieważ problematyczny plik kanału został przywrócony.
Warto przeczytać!  Niger, który uderzył w zamach stanu, postawił na ratunek wspierany przez Chiny rurociąg naftowy. Potem zaczęły się kłopoty

Gospodarze niepodlegający wpływowi

  • Hosty Windows, które zostaną uruchomione po 2024-07-19 0527 UTC, nie zostaną objęte tą zmianą
  • Ten problem nie dotyczy hostów opartych na systemach Mac i Linux

Jak zidentyfikować zainfekowane hosty?

Jak zidentyfikować hostów, których dotyczy problem, za pomocą zaawansowanego zapytania wyszukiwania zdarzeń? Zaktualizowano 2024-07-21 0023 UTC

Przeczytaj ten artykuł z bazy wiedzy: Jak zidentyfikować hosty, których mogą dotyczyć awarie systemu Windows (pdf) lub zaloguj się, aby wyświetlić informacje w portalu pomocy technicznej.

Jak zidentyfikować hosty, których dotyczy problem, za pośrednictwem pulpitu nawigacyjnego?

Dostępny jest Panel, który wyświetla kanały, CID i czujniki, na które wpłynęło. W zależności od subskrypcji jest on dostępny w menu Konsola w:

  • System SIEM nowej generacji > Zarządzanie logami > Pulpit nawigacyjny lub;
  • Zbadaj > Pulpity nawigacyjne
  • Nazwany jako: Hosty_mogą_być_dotknięte_awariami_systemu_Windows
    • Uwaga: Panelu nie można używać z przyciskiem „Na żywo”

Jeśli hosty nadal się zawieszają i nie są w stanie pozostać w trybie online, aby odebrać aktualizację pliku kanału, można zastosować opisane poniżej kroki naprawcze.

Jak naprawić poszczególne hosty?

  • Zrestartuj hosta, aby dać mu możliwość pobrania pliku kanału z przywróconym kanałem. Zdecydowanie zalecamy umieszczenie hosta w sieci przewodowej (w przeciwieństwie do WiFi) przed ponownym uruchomieniem, ponieważ host uzyska łączność internetową znacznie szybciej przez Ethernet.
  • Jeśli po ponownym uruchomieniu hosta ponownie wystąpi awaria, zapoznaj się ze szczegółowymi instrukcjami w tym artykule firmy Microsoft.
    • Uwaga: Hosty szyfrowane za pomocą Bitlockera mogą wymagać klucza odzyskiwania.
Warto przeczytać!  Władimir Putin, który rósł przed śmiercią Nawalnego, wydaje się nie do zatrzymania

Jak odzyskać klucze Bitlocker? Zaktualizowano 2024-07-20 2259 UTC

Jak odzyskać zasoby środowiska opartego na chmurze

Środowisko chmurowe Przewodnictwo

AWS

 Artykuł AWS

Lazur

 Artykuł firmy Microsoft

GCP

 (PDF) lub zaloguj się, aby wyświetlić w portalu pomocy technicznej

Chmura publiczna/środowiska wirtualne

Opcja 1:

  • Odłącz wolumin dysku systemu operacyjnego od dotkniętego serwera wirtualnego
  • Przed przystąpieniem do dalszych czynności utwórz migawkę lub kopię zapasową woluminu dysku, aby zapobiec niezamierzonym zmianom
  • Podłącz/zamontuj wolumin na nowym serwerze wirtualnym
  • Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
  • Znajdź plik odpowiadający „C-00000291*.sys” i usuń go
  • Odłącz wolumin od nowego serwera wirtualnego
  • Ponownie podłącz stały wolumin do serwera wirtualnego, którego to dotyczy

Opcja 2:

  • ​​​ …

Informacje o dostawcach zewnętrznych Zaktualizowano 2024-07-20 2259 UTC

Dodatkowe zasoby


Źródło

Poprzedni artykuł

Następny artykuł