Insights | Integrity360

Advisory: Crowdstrike update causing Blue Screen of Death

Escrito por The Integrity360 Team | 19-jul-2024 9:29:39

Descripción e impacto del problema

Integrity360 tiene constancia de un incidente que afecta a los usuarios de Windows, que provoca una pantalla azul de la muerte (BSOD) y hace que los dispositivos se queden bloqueados en la pantalla de "Recovery". CrowdStrike ha confirmado que una actualización reciente de sus sensores es la causa de este problema.

A continuación, proporcionamos los pasos que se pueden seguir para mitigar el problema de la BSOD y el bucle de la pantalla de recuperación.

 

Detalles  

  • Los síntomas incluyen hosts que experimentan un error de pantalla bugcheck\blue relacionado con el sensor Falcon.  
  • Los hosts Windows que no han sido afectados no requieren ninguna acción ya que el archivo de canal problemático ha sido revertido.  
  • Los hosts Windows que se pongan en línea después de las 0527 UTC tampoco se verán afectados.  
  • Los hosts con Windows 7/2008 R2 no se verán afectados.  
  • Este problema no afecta a los servidores basados en Mac o Linux.  
  • El archivo de canal "C-00000291*.sys" con fecha de 0527 UTC o posterior es la versión revertida (buena).  
  • El archivo de canal "C-00000291*.sys" con fecha y hora de 0409 UTC es la versión problemática.  

Acción actual  

  • CrowdStrike Engineering ha identificado un despliegue de contenido relacionado con este problema y ha revertido esos cambios.  
  • Si los hosts siguen fallando y no pueden permanecer en línea para recibir los cambios en los archivos de canal, se pueden seguir los siguientes pasos para solucionar este problema:  
  1. Solución Pasos para hosts individuales: 
  • Reinicie el host para darle la oportunidad de descargar el archivo de canal revertido. Si el host se bloquea de nuevo, entonces:  
  • Arranque Windows en modo seguro o en el modo de recuperación de Windows.  
  • Nota: Colocar el host en una red cableada (en lugar de WiFi) y utilizar el Modo a prueba de errores con funciones de red puede ayudar a solucionar el problema.    
  • Vaya al directorio %WINDIR%\System32\drivers\CrowdStrike  
  • Localice el archivo "C-00000291*.sys" y elimínelo.  
  • Arranque el sistema normalmente.  

Nota: Los hosts encriptados con Bitlocker pueden requerir una clave de recuperación. 

  1. Solución Pasos para la nube pública o entorno similar incluyendo virtual: 

Opción 1:  

  • Separe el volumen de disco del sistema operativo del servidor virtual afectado.  
  • Cree una instantánea o una copia de seguridad del volumen de disco antes de seguir adelante como medida de precaución contra cambios no deseados.  
  • Adjunte/monte el volumen a un nuevo servidor virtual  
  • Vaya al directorio %WINDIR%\System32\drivers\CrowdStrike  
  • Localice el archivo "C-00000291*.sys" y elimínelo.  
  • Separe el volumen del nuevo servidor virtual.  
  • Vuelva a conectar el volumen fijo al servidor virtual afectado.  

Opción 2:  

  • Retroceda a una instantánea anterior a las 0409 UTC.   

Documentación específica de AWS:  

  

Entornos Azure:  

Consulte este artículo de Microsoft 

  

KBs relacionados con la recuperación de Bitlocker:  

  

Últimas actualizaciones  

  • 2024-07-19 05:30 AM UTC | Tech Alert Publicado.  
  • 2024-07-19 06:30 AM UTC | Actualizado y añadidos detalles de la solución.  
  • 2024-07-19 08:08 AM UTC | Actualizado  
  • 2024-07-19 09:45 AM UTC | Actualizado  
  • 2024-07-19 11:49 AM UTC | Actualizado  
  • 2024-07-19 11:55 AM UTC | Actualizado  

Más información

Nos estamos poniendo en contacto de forma proactiva con nuestros clientes de Servicios Gestionados, pero si necesita ayuda con los pasos mencionados anteriormente o tiene alguna otra pregunta, póngase en contacto con nuestro equipo de soporte.

Estamos aquí para ayudarle en este proceso y garantizar que sus sistemas vuelvan a la normalidad lo antes posible.

Sentimos las molestias ocasionadas y agradecemos su comprensión.

Atentamente,

Equipo de soporte de Integrity360