Dolutech

Guia de Correção para a Atualização Defeituosa do Falcon da CrowdStrike

Em 19 de julho de 2024, a CrowdStrike enfrentou um problema significativo relacionado a uma atualização de conteúdo do Falcon Sensor, que afetou hosts Windows globalmente. Este guia fornecerá passos detalhados para corrigir o problema causado por essa atualização defeituosa.

image 1
CrowdStrike

Resumo do Problema

A atualização defeituosa do Falcon Sensor causou falhas e crashes em hosts Windows, resultando em erros de tela azul (bugcheck). Hosts que não foram afetados ou que foram trazidos online após 0527 UTC não necessitam de ação, pois o arquivo problemático já foi revertido.

Detalhes do Problema

Ação Atual

A engenharia da CrowdStrike identificou o problema e reverteu as mudanças que causaram a falha. No entanto, hosts que continuam apresentando crashes e não conseguem permanecer online precisam seguir os passos abaixo para correção.

Passos de Correção

Hosts Individuais

  1. Reiniciar o Host:
    • Tente reiniciar o host para permitir que ele baixe o arquivo de canal revertido.
    • Se o host continuar a apresentar crashes, siga os próximos passos.
  2. Modo de Segurança:
    • Inicie o Windows em Modo de Segurança ou no Ambiente de Recuperação do Windows.
    • Conectar o host a uma rede com fio (em vez de Wi-Fi) pode ajudar na remediação.
  3. Navegar até o Diretório de Drivers:
    • Vá até o diretório %WINDIR%\System32\drivers\CrowdStrike.
  4. Excluir o Arquivo Problemático:
    • Localize e exclua o arquivo que corresponde a “C-00000291*.sys”.
  5. Reiniciar Normalmente:
    • Reinicie o host normalmente.
    • Observação: Hosts criptografados com Bitlocker podem requerer uma chave de recuperação.

Ambientes de Nuvem Pública ou Similares (Incluindo Virtuais)

Opção 1:

  1. Desanexar o Volume de Disco do Sistema Operacional:
    • Desanexe o volume de disco do sistema operacional do servidor virtual impactado.
  2. Criar um Snapshot ou Backup:
    • Crie um snapshot ou backup do volume de disco como precaução contra mudanças não intencionais.
  3. Anexar o Volume a um Novo Servidor Virtual:
    • Anexe/monta o volume a um novo servidor virtual.
  4. Navegar até o Diretório de Drivers:
    • Vá até o diretório %WINDIR%\System32\drivers\CrowdStrike.
  5. Excluir o Arquivo Problemático:
    • Localize e exclua o arquivo que corresponde a “C-00000291*.sys”.
  6. Desanexar e Reanexar o Volume:
    • Desanexe o volume do novo servidor virtual.
    • Reanexe o volume corrigido ao servidor virtual impactado.

Opção 2:

  1. Rollback para um Snapshot Anterior:
    • Revert a um snapshot anterior a 0409 UTC.

Recomendações da CrowdStrike

A CrowdStrike recomenda que todas as comunicações sejam feitas através de canais oficiais para garantir a segurança e a estabilidade dos sistemas dos clientes. A equipe da CrowdStrike está mobilizada para fornecer suporte contínuo e atualizações através do portal de suporte e do site da empresa.

Para obter mais informações e atualizações contínuas sobre o problema e as etapas de correção, visite o Portal de Suporte da CrowdStrike.

Sair da versão mobile