Insights | Integrity360

Advisory: Crowdstrike update causing Blue Screen of Death

Skriven av The Integrity360 Team | 2024-jul-19 09:42:00

Översikt och påverkan 

Integrity360 är medvetna om ett pågående problem som påverkar Windows-användare, vilket orsakar en Blue Screen of Death (BSOD) och resulterar i att enheter fastnar på skärmen "Recovery". CrowdStrike har bekräftat att en nyligen genomförd uppdatering av deras sensorer är orsaken till detta problem.  

Nedan har vi tillhandahållit de steg som kan vidtas för att mildra BSOD och Recovery screen loop-problemet. 

Detaljer 

  • Symptomen inkluderar värddatorer som upplever ett bugcheck\bluescreen-fel relaterat till Falcon Sensor. 
  • Windows-värdar som inte har påverkats behöver inte vidta några åtgärder eftersom den problematiska kanalfilen har återställts. 
  • Windows-värdar som tas online efter 0527 UTC kommer inte heller att påverkas. 
  • Värdar som kör Windows7/2008 R2 påverkas inte. 
  • Detta problem påverkar inte Mac- eller Linux-baserade värdar. 
  • Kanalfilen "C-00000291*.sys" med tidsstämpel 0527 UTC eller senare är den återställda (bra) versionen. 
  • Kanalfilen "C-00000291*.sys" med tidsstämpel 0409 UTC är den problematiska versionen. 

Aktuella åtgärder 

  • CrowdStrike Engineering har identifierat en innehållsdistribution som är relaterad till detta problem och återställt dessa ändringar. 
  • Om värdar fortfarande kraschar och inte kan vara online för att ta emot Channel File Changes, kan följande steg användas för att lösa problemet: 

Åtgärder för att lösa problemet för enskilda värdar: 

  • Starta om värden för att ge den en möjlighet att ladda ner den återställda kanalfilen. Om värden kraschar igen, då: 
  • Starta Windows i felsäkert läge eller Windows Recovery Environment. 
  • Obs: Att sätta värden på ett trådbundet nätverk (i motsats till WiFi) och använda felsäkert läge med nätverk kan hjälpa till att åtgärda problemet. 
  • Navigera till katalogen %WINDIR%\System32\drivers\CrowdStrike. 
  • Leta reda på filen som matchar "C-00000291*.sys" och ta bort den. 
  • Starta värddatorn normalt. 

Bitlockerkrypterade värddatorer kan kräva en återställningsnyckel. 

 

Lösningssteg för offentligt moln eller liknande miljö, inklusive virtuell: 

Alternativ 1: 

  • Avlägsna operativsystemets diskvolym från den påverkade virtuella servern 
  • Skapa en ögonblicksbild eller säkerhetskopia av diskvolymen innan du går vidare som en försiktighetsåtgärd mot oavsiktliga ändringar 
  • Bifoga/montera volymen till en ny virtuell server 
  • Navigera till katalogen %WINDIR%\\System32\drivers\CrowdStrike 
  • Leta reda på filen som matchar "C-00000291*.sys" och ta bort den. 
  • Lossa volymen från den nya virtuella servern 
  • Koppla tillbaka den fasta volymen till den påverkade virtuella servern 

Alternativ 2: 

  • Återgå till en ögonblicksbild före 0409 UTC. 

 

AWS-specifik documentation: 

  • To attach an EBS volume to an instance 
  • Detach an Amazon EBS volume from an instance 

Azure-miljöer: 

Var god och titta på denna Microsoftartikel. 

 

Bitlocker återställningsrelaterade KB: 

  • BitLocker recovery in Microsoft Azure 
  • BitLocker recovery in Microsoft environments using SCCM 
  • BitLocker recovery in Microsoft environments using Active Directory and GPOs 
  • BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager 

 

Senaste uppdateringarna 

  • 2024-07-19 05:30 AM UTC | Teknisk varning publicerad. 
  • 2024-07-19 06:30 AM UTC | Uppdaterad och tillagd information om lösning. 
  • 2024-07-19 08:08 AM UTC | Uppdaterad 
  • 2024-07-19 09:45 AM UTC | Uppdaterad 
  • 2024-07-19 11:49 AM UTC | Uppdaterad 
  • 2024-07-19 11:55 AM UTC | Uppdaterad 

Mer information 

Vi kontaktar våra Managed Services-kunder proaktivt, men om ni behöver hjälp med de steg som nämns ovan eller har ytterligare frågor, vänligen kontakta vårt supportteam. 

Vi är här för att hjälpa er genom denna process och se till att era system återgår till det normala så snabbt som möjligt. 

Vi ber om ursäkt för eventuella olägenheter och uppskattar er förståelse och ert samarbete. 

Med vänlig hälsning 

Integrity360s Supportteam