Guia de Correção para a Atualização Defeituosa do Falcon da CrowdStrike

Em 19 de julho de 2024, a CrowdStrike enfrentou um problema significativo relacionado a uma atualização de conteúdo do Falcon Sensor, que afetou hosts Windows globalmente. Este guia fornecerá passos detalhados para corrigir o problema causado por essa atualização defeituosa.

Resumo do Problema

A atualização defeituosa do Falcon Sensor causou falhas e crashes em hosts Windows, resultando em erros de tela azul (bugcheck). Hosts que não foram afetados ou que foram trazidos online após 0527 UTC não necessitam de ação, pois o arquivo problemático já foi revertido.

Detalhes do Problema

• Sintomas: Crashes e erros de tela azul relacionados ao Falcon Sensor.
• Hosts Impactados: Principalmente sistemas Windows, exceto Windows 7 e Windows Server 2008 R2. Hosts Mac e Linux não foram afetados.
• Arquivos Problema: O arquivo de canal com timestamp 0409 UTC é o problemático, enquanto o arquivo com timestamp 0527 UTC ou posterior é a versão corrigida.

Ação Atual

A engenharia da CrowdStrike identificou o problema e reverteu as mudanças que causaram a falha. No entanto, hosts que continuam apresentando crashes e não conseguem permanecer online precisam seguir os passos abaixo para correção.

Passos de Correção

Hosts Individuais

1. Reiniciar o Host:
   • Tente reiniciar o host para permitir que ele baixe o arquivo de canal revertido.
   • Se o host continuar a apresentar crashes, siga os próximos passos.
2. Modo de Segurança:
   • Inicie o Windows em Modo de Segurança ou no Ambiente de Recuperação do Windows.
   • Conectar o host a uma rede com fio (em vez de Wi-Fi) pode ajudar na remediação.
3. Navegar até o Diretório de Drivers:
   • Vá até o diretório %WINDIR%\System32\drivers\CrowdStrike.
4. Excluir o Arquivo Problemático:
   • Localize e exclua o arquivo que corresponde a “C-00000291*.sys”.
5. Reiniciar Normalmente:
   • Reinicie o host normalmente.
   • Observação: Hosts criptografados com Bitlocker podem requerer uma chave de recuperação.

Ambientes de Nuvem Pública ou Similares (Incluindo Virtuais)

Opção 1:

1. Desanexar o Volume de Disco do Sistema Operacional:
   • Desanexe o volume de disco do sistema operacional do servidor virtual impactado.
2. Criar um Snapshot ou Backup:
   • Crie um snapshot ou backup do volume de disco como precaução contra mudanças não intencionais.
3. Anexar o Volume a um Novo Servidor Virtual:
   • Anexe/monta o volume a um novo servidor virtual.
4. Navegar até o Diretório de Drivers:
   • Vá até o diretório %WINDIR%\System32\drivers\CrowdStrike.
5. Excluir o Arquivo Problemático:
   • Localize e exclua o arquivo que corresponde a “C-00000291*.sys”.
6. Desanexar e Reanexar o Volume:
   • Desanexe o volume do novo servidor virtual.
   • Reanexe o volume corrigido ao servidor virtual impactado.

Opção 2:

1. Rollback para um Snapshot Anterior:
   • Revert a um snapshot anterior a 0409 UTC.

Recomendações da CrowdStrike

A CrowdStrike recomenda que todas as comunicações sejam feitas através de canais oficiais para garantir a segurança e a estabilidade dos sistemas dos clientes. A equipe da CrowdStrike está mobilizada para fornecer suporte contínuo e atualizações através do portal de suporte e do site da empresa.

Para obter mais informações e atualizações contínuas sobre o problema e as etapas de correção, visite o Portal de Suporte da CrowdStrike.

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.