Insights | Integrity360

Advisory: Crowdstrike update causing Blue Screen of Death

Scritto da The Integrity360 Team | 19-lug-2024 11.00.15

Panoramica del Problema e Impatto Soggetti Interessati: 

Il problema si manifesta con un “Blue Screen of Death” (BSOD) sui sistemi Windows (Client 
e Server) equipaggiati con Falcon Agent di CrowdStrike. Come conseguenza il Sistema è 
bloccato sulla schermata di “Ripristino” (“Recovery” screen).

CrowdStrike ha confermato che un recente aggiornamento ai suoi “Sensori” è la causa 
scatenante del problema.

Di seguito i passaggi che possono essere eseguiti per mitigare il problema della schermata 
BSOD e di ripristino

Dettagl

  • Gli host riscontrano un bugcheck/schermata blu relativo al sensore Falcon.
  • Gli host Windows che non sono stati interessati non richiedono alcuna azione in quanto il file problematico è stato ripristinato.
  • Anche gli host Windows che vengono portati online dopo le 0527 UTC non saranno interessati.
  • Gli host che eseguono Windows7/2008 R2 non sono interessati.
  • Questo problema non ha alcun impatto sugli host basati su Mac o Linux.
  • Il file di canale “C-00000291*.sys” con timestamp 0527 UTC o successivo è la versione ripristinata (valida).
  • Il file di canale “C-00000291*.sys” con timestamp 0409 UTC è la versione problematica.

Azioni in Corso

  • CrowdStrike Engineering ha identificato una distribuzione di contenuti correlata a questo 
    problema e ha annullato tali modifiche.
  • Se gli host continuano a bloccarsi e non sono in grado di rimanere online per ricevere le 
    modifiche ai file del canale, è possibile utilizzare i seguenti passaggi per risolvere il problema

Workaround steps for individual hosts:

  • Riavviare l’host per dargli l’opportunità di scaricare il file ripristinato. Se l’host si arresta di 
    nuovo in modo anomalo, allora:
  • Avvia Windows in Modalità Provvisoria o in Ambiente di Ripristino Windows.
  • Nota: Il collegamento dell’host su una rete cablata (anziché Wi-Fi) e l’utilizzo della Modalità 
    Provvisoria di Rete possono aiutare a risolvere il problema.
  • Aprire il prompt comandi e digitare %WINDIR%\System32\drivers\CrowdStrike
  • Individuare il file corrispondente a “C-00000291*.sys”, e eliminarlo.
  • Avviare l’host normalmente.

Nota: gli host crittografati con Bitlocker potrebbero richiedere una chiave di ripristino.

Passaggi per risolvere il problema per il Cloud pubblico o ambiente simile, incluso 
quello virtuale:


Opzione 1:

  • Scollegare il volume del disco del sistema operativo dal server virtuale interessato
  • Creare un’istantanea o un backup del volume del disco prima di procedere ulteriormente come precauzione contro modifiche involontarie
  • Collegare/montare il volume su un nuovo server virtuale
  • Passare alla directory %WINDIR%\\System32\drivers\CrowdStrike
  • Individuare il file corrispondente a “C-00000291*.sys” ed eliminarlo.
  • Scollegare il volume dal nuovo server virtuale
  • Ricollegare il volume fisso al server virtuale interessato

Opzione 2:

  • Eseguire il rollback alla versione prima delle 0409 UTC.

AWS-documentazione specifica:

  • To attach an EBS volume to an instance
  • Detach an Amazon EBS volume from an instance

Ambiente Azure:

Please see this Microsoft article

Bitlocker recovery-related KBs:

  • BitLocker recovery in Microsoft Azure
  • BitLocker recovery in Microsoft environments using SCCM
  • BitLocker recovery in Microsoft environments using Active Directory and GPOs
  • BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager

Ultimi Aggiornamenti

  • 2024-07-19 05:30 AM UTC | Tech Alert Published.
  • 2024-07-19 06:30 AM UTC | Updated and added workaround details.
  • 2024-07-19 08:08 AM UTC | Updated
  • 2024-07-19 09:45 AM UTC | Updated
  • 2024-07-19 11:49 AM UTC | Updated
  • 2024-07-19 11:55 AM UTC | Updated

Ulteriori Informazioni 

Stiamo proattivamente contattando i clienti del nostro Managed Service, ma se avete bisogno di assistenza per risolvere il problema o hai domande, per favore contatta subito il nostro team di supporto.

Siamo qui per aiutarvi attraverso questo processo di risoluzione del problema e riportare i vostri sistemi in sicurezza alla normale operatività il prima possibile. 

Cordiali saluti, 

Integrity360 Support Team

support@integrity360.com