Panoramica del Problema e Impatto Soggetti Interessati:
Il problema si manifesta con un “Blue Screen of Death” (BSOD) sui sistemi Windows (Client
e Server) equipaggiati con Falcon Agent di CrowdStrike. Come conseguenza il Sistema è
bloccato sulla schermata di “Ripristino” (“Recovery” screen).
CrowdStrike ha confermato che un recente aggiornamento ai suoi “Sensori” è la causa
scatenante del problema.
Di seguito i passaggi che possono essere eseguiti per mitigare il problema della schermata
BSOD e di ripristino
Dettagl
- Gli host riscontrano un bugcheck/schermata blu relativo al sensore Falcon.
- Gli host Windows che non sono stati interessati non richiedono alcuna azione in quanto il file problematico è stato ripristinato.
- Anche gli host Windows che vengono portati online dopo le 0527 UTC non saranno interessati.
- Gli host che eseguono Windows7/2008 R2 non sono interessati.
- Questo problema non ha alcun impatto sugli host basati su Mac o Linux.
- Il file di canale “C-00000291*.sys” con timestamp 0527 UTC o successivo è la versione ripristinata (valida).
- Il file di canale “C-00000291*.sys” con timestamp 0409 UTC è la versione problematica.
Azioni in Corso
- CrowdStrike Engineering ha identificato una distribuzione di contenuti correlata a questo
problema e ha annullato tali modifiche.
- Se gli host continuano a bloccarsi e non sono in grado di rimanere online per ricevere le
modifiche ai file del canale, è possibile utilizzare i seguenti passaggi per risolvere il problema
Workaround steps for individual hosts:
- Riavviare l’host per dargli l’opportunità di scaricare il file ripristinato. Se l’host si arresta di
nuovo in modo anomalo, allora:
- Avvia Windows in Modalità Provvisoria o in Ambiente di Ripristino Windows.
- Nota: Il collegamento dell’host su una rete cablata (anziché Wi-Fi) e l’utilizzo della Modalità
Provvisoria di Rete possono aiutare a risolvere il problema.
- Aprire il prompt comandi e digitare %WINDIR%\System32\drivers\CrowdStrike
- Individuare il file corrispondente a “C-00000291*.sys”, e eliminarlo.
- Avviare l’host normalmente.
Nota: gli host crittografati con Bitlocker potrebbero richiedere una chiave di ripristino.
Passaggi per risolvere il problema per il Cloud pubblico o ambiente simile, incluso
quello virtuale:
Opzione 1:
- Scollegare il volume del disco del sistema operativo dal server virtuale interessato
- Creare un’istantanea o un backup del volume del disco prima di procedere ulteriormente come precauzione contro modifiche involontarie
- Collegare/montare il volume su un nuovo server virtuale
- Passare alla directory %WINDIR%\\System32\drivers\CrowdStrike
- Individuare il file corrispondente a “C-00000291*.sys” ed eliminarlo.
- Scollegare il volume dal nuovo server virtuale
- Ricollegare il volume fisso al server virtuale interessato
Opzione 2:
- Eseguire il rollback alla versione prima delle 0409 UTC.
AWS-documentazione specifica:
- To attach an EBS volume to an instance
- Detach an Amazon EBS volume from an instance
Ambiente Azure:
Please see this Microsoft article
Bitlocker recovery-related KBs:
- BitLocker recovery in Microsoft Azure
- BitLocker recovery in Microsoft environments using SCCM
- BitLocker recovery in Microsoft environments using Active Directory and GPOs
- BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager
Ultimi Aggiornamenti
- 2024-07-19 05:30 AM UTC | Tech Alert Published.
- 2024-07-19 06:30 AM UTC | Updated and added workaround details.
- 2024-07-19 08:08 AM UTC | Updated
- 2024-07-19 09:45 AM UTC | Updated
- 2024-07-19 11:49 AM UTC | Updated
- 2024-07-19 11:55 AM UTC | Updated
Ulteriori Informazioni
Stiamo proattivamente contattando i clienti del nostro Managed Service, ma se avete bisogno di assistenza per risolvere il problema o hai domande, per favore contatta subito il nostro team di supporto.
Siamo qui per aiutarvi attraverso questo processo di risoluzione del problema e riportare i vostri sistemi in sicurezza alla normale operatività il prima possibile.
Cordiali saluti,
Integrity360 Support Team
support@integrity360.com