Em 19 de julho de 2024, a CrowdStrike enfrentou um problema significativo relacionado a uma atualização de conteúdo do Falcon Sensor, que afetou hosts Windows globalmente. Este guia fornecerá passos detalhados para corrigir o problema causado por essa atualização defeituosa.
Resumo do Problema
A atualização defeituosa do Falcon Sensor causou falhas e crashes em hosts Windows, resultando em erros de tela azul (bugcheck). Hosts que não foram afetados ou que foram trazidos online após 0527 UTC não necessitam de ação, pois o arquivo problemático já foi revertido.
Detalhes do Problema
- Sintomas: Crashes e erros de tela azul relacionados ao Falcon Sensor.
- Hosts Impactados: Principalmente sistemas Windows, exceto Windows 7 e Windows Server 2008 R2. Hosts Mac e Linux não foram afetados.
- Arquivos Problema: O arquivo de canal com timestamp 0409 UTC é o problemático, enquanto o arquivo com timestamp 0527 UTC ou posterior é a versão corrigida.
Ação Atual
A engenharia da CrowdStrike identificou o problema e reverteu as mudanças que causaram a falha. No entanto, hosts que continuam apresentando crashes e não conseguem permanecer online precisam seguir os passos abaixo para correção.
Passos de Correção
Hosts Individuais
- Reiniciar o Host:
- Tente reiniciar o host para permitir que ele baixe o arquivo de canal revertido.
- Se o host continuar a apresentar crashes, siga os próximos passos.
- Modo de Segurança:
- Inicie o Windows em Modo de Segurança ou no Ambiente de Recuperação do Windows.
- Conectar o host a uma rede com fio (em vez de Wi-Fi) pode ajudar na remediação.
- Navegar até o Diretório de Drivers:
- Vá até o diretório
%WINDIR%\System32\drivers\CrowdStrike.
- Vá até o diretório
- Excluir o Arquivo Problemático:
- Localize e exclua o arquivo que corresponde a “C-00000291*.sys”.
- Reiniciar Normalmente:
- Reinicie o host normalmente.
- Observação: Hosts criptografados com Bitlocker podem requerer uma chave de recuperação.
Ambientes de Nuvem Pública ou Similares (Incluindo Virtuais)
Opção 1:
- Desanexar o Volume de Disco do Sistema Operacional:
- Desanexe o volume de disco do sistema operacional do servidor virtual impactado.
- Criar um Snapshot ou Backup:
- Crie um snapshot ou backup do volume de disco como precaução contra mudanças não intencionais.
- Anexar o Volume a um Novo Servidor Virtual:
- Anexe/monta o volume a um novo servidor virtual.
- Navegar até o Diretório de Drivers:
- Vá até o diretório
%WINDIR%\System32\drivers\CrowdStrike.
- Vá até o diretório
- Excluir o Arquivo Problemático:
- Localize e exclua o arquivo que corresponde a “C-00000291*.sys”.
- Desanexar e Reanexar o Volume:
- Desanexe o volume do novo servidor virtual.
- Reanexe o volume corrigido ao servidor virtual impactado.
Opção 2:
- Rollback para um Snapshot Anterior:
- Revert a um snapshot anterior a 0409 UTC.
Recomendações da CrowdStrike
A CrowdStrike recomenda que todas as comunicações sejam feitas através de canais oficiais para garantir a segurança e a estabilidade dos sistemas dos clientes. A equipe da CrowdStrike está mobilizada para fornecer suporte contínuo e atualizações através do portal de suporte e do site da empresa.
Para obter mais informações e atualizações contínuas sobre o problema e as etapas de correção, visite o Portal de Suporte da CrowdStrike.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
