Centrum naprawcze i wskazówek dotyczące aktualizacji treści Falcon
Zaktualizowano 2024-07-21 0023 UTC
CrowdStrike aktywnie pomaga klientom dotkniętym wadą ostatniej aktualizacji treści dla hostów Windows. Hosty Mac i Linux nie zostały dotknięte. Problem został zidentyfikowany i odizolowany, a poprawka została wdrożona. Nie był to cyberatak.
Klienci powinni sprawdzić portal pomocy technicznej pod kątem aktualizacji. Będziemy również nadal dostarczać najnowsze informacje tutaj i na naszym blogu, gdy będą dostępne. Zalecamy organizacjom sprawdzenie, czy komunikują się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.
Zapewniamy naszych klientów, że CrowdStrike działa normalnie i ten problem nie ma wpływu na nasze systemy platformy Falcon. Jeśli Twoje systemy działają normalnie, nie ma to wpływu na ich ochronę, jeśli zainstalowany jest czujnik Falcon.
Rozumiemy powagę tej sytuacji i głęboko przepraszamy za niedogodności i zakłócenia. Nasz zespół jest w pełni zmobilizowany, aby zapewnić bezpieczeństwo i stabilność klientów CrowdStrike.
Oświadczenie naszego dyrektora generalnego
Wysłano 2024-07-19 1930 UTC
Szanowni Klienci i Partnerzy,
Chcę szczerze przeprosić wszystkich za awarię. Wszyscy w CrowdStrike rozumieją powagę i wpływ sytuacji. Szybko zidentyfikowaliśmy problem i wdrożyliśmy poprawkę, co pozwoliło nam skupić się pilnie na przywracaniu systemów klientów jako naszym najwyższym priorytecie.
Awaria została spowodowana przez defekt znaleziony w aktualizacji zawartości Falcon dla hostów Windows. Hosty Mac i Linux nie są dotknięte. Nie był to cyberatak.
Współpracujemy ściśle z klientami i partnerami, których dotyczy awaria, aby mieć pewność, że wszystkie systemy zostaną przywrócone, tak abyście mogli świadczyć usługi, na których polegają Wasi klienci.
CrowdStrike działa normalnie, a ten problem nie wpływa na nasze systemy platformy Falcon. Nie ma to wpływu na żadną ochronę, jeśli zainstalowany jest czujnik Falcon. Usługi Falcon Complete i Falcon OverWatch nie są zakłócane.
Będziemy zapewniać ciągłe aktualizacje za pośrednictwem naszego Portalu Wsparcia pod adresem
Zmobilizowaliśmy cały CrowdStrike, aby pomóc Tobie i Twoim zespołom. Jeśli masz pytania lub potrzebujesz dodatkowego wsparcia, skontaktuj się z przedstawicielem CrowdStrike lub działem pomocy technicznej.
Wiemy, że przeciwnicy i źli aktorzy będą próbowali wykorzystać takie wydarzenia. Zachęcam wszystkich do zachowania czujności i upewnienia się, że współpracujecie z oficjalnymi przedstawicielami CrowdStrike. Nasz blog i wsparcie techniczne nadal będą oficjalnymi kanałami najnowszych aktualizacji.
Nic nie jest dla mnie ważniejsze niż zaufanie i pewność, jakie nasi klienci i partnerzy włożyli w CrowdStrike. Podczas rozwiązywania tego incydentu zobowiązuję się zapewnić pełną przejrzystość w kwestii tego, jak do tego doszło, oraz kroków, jakie podejmujemy, aby zapobiec ponownemu wystąpieniu czegoś podobnego.
George Kurtz
Założyciel i dyrektor generalny CrowdStrike
Szczegóły techniczne
- Szczegóły techniczne dotyczące przerwy w dostawie prądu można znaleźć tutaj: Przeczytaj blog Opublikowano 2024-07-19 0100 UTC
- Zapewniamy naszych klientów, że CrowdStrike działa normalnie i ten problem nie dotyczy naszych systemów platformy Falcon. Jeśli Twoje systemy działają normalnie, nie ma to wpływu na ich ochronę, jeśli zainstalowany jest czujnik Falcon. Usługi Falcon Complete i Overwatch nie są zakłócane przez ten incydent.
- CrowdStrike zidentyfikował wyzwalacz tego problemu jako wdrożenie zawartości związanej z czujnikiem Windows i cofnęliśmy te zmiany. Zawartość to plik kanału znajdujący się w katalogu %WINDIR%\System32\drivers\CrowdStrike.
- Plik kanału „C-00000291*.sys” ze znacznikiem czasu 2024-07-19 0527 UTC lub nowszym jest wersją przywróconą (dobrą).
- Problematyczna jest wersja pliku kanału „C-00000291*.sys” ze znacznikiem czasu 2024-07-19 0409 UTC.
- Uwaga: Obecność wielu plików „C-00000291*.sys” w katalogu CrowdStrike jest normalna – pod warunkiem, że jeden plików w folderze ma znacznik czasu 05:27 UTC lub późniejszy, będzie to aktywna zawartość.
- Objawy obejmują występowanie na hostach błędu bugcheck\niebieskiego ekranu związanego z czujnikiem Falcon.
- Hosty Windows, które mają nie nie wymagają żadnych działań, ponieważ problematyczny plik kanału został przywrócony.
Gospodarze niepodlegający wpływowi
- Hosty Windows, które zostaną uruchomione po 2024-07-19 0527 UTC, nie zostaną objęte tą zmianą
- Ten problem nie dotyczy hostów opartych na systemach Mac i Linux
Jak zidentyfikować zainfekowane hosty?
Jak zidentyfikować hostów, których dotyczy problem, za pomocą zaawansowanego zapytania wyszukiwania zdarzeń? Zaktualizowano 2024-07-21 0023 UTC
Przeczytaj ten artykuł z bazy wiedzy: Jak zidentyfikować hosty, których mogą dotyczyć awarie systemu Windows (pdf) lub zaloguj się, aby wyświetlić informacje w portalu pomocy technicznej.
Jak zidentyfikować hosty, których dotyczy problem, za pośrednictwem pulpitu nawigacyjnego?
Dostępny jest Panel, który wyświetla kanały, CID i czujniki, na które wpłynęło. W zależności od subskrypcji jest on dostępny w menu Konsola w:
- System SIEM nowej generacji > Zarządzanie logami > Pulpit nawigacyjny lub;
- Zbadaj > Pulpity nawigacyjne
- Nazwany jako: Hosty_mogą_być_dotknięte_awariami_systemu_Windows
- Uwaga: Panelu nie można używać z przyciskiem „Na żywo”
Jeśli hosty nadal się zawieszają i nie są w stanie pozostać w trybie online, aby odebrać aktualizację pliku kanału, można zastosować opisane poniżej kroki naprawcze.
Jak naprawić poszczególne hosty?
- Zrestartuj hosta, aby dać mu możliwość pobrania pliku kanału z przywróconym kanałem. Zdecydowanie zalecamy umieszczenie hosta w sieci przewodowej (w przeciwieństwie do WiFi) przed ponownym uruchomieniem, ponieważ host uzyska łączność internetową znacznie szybciej przez Ethernet.
- Jeśli po ponownym uruchomieniu hosta ponownie wystąpi awaria, zapoznaj się ze szczegółowymi instrukcjami w tym artykule firmy Microsoft.
- Uwaga: Hosty szyfrowane za pomocą Bitlockera mogą wymagać klucza odzyskiwania.
Jak odzyskać klucze Bitlocker? Zaktualizowano 2024-07-20 2259 UTC
Jak odzyskać zasoby środowiska opartego na chmurze
Środowisko chmurowe | Przewodnictwo |
---|---|
AWS |
Artykuł AWS |
Lazur |
Artykuł firmy Microsoft |
GCP |
(PDF) lub zaloguj się, aby wyświetlić w portalu pomocy technicznej |
Chmura publiczna/środowiska wirtualne |
Opcja 1:
Opcja 2:
|
Informacje o dostawcach zewnętrznych Zaktualizowano 2024-07-20 2259 UTC
Dodatkowe zasoby