Aktualisiert am 19. Juli 2024 um 21:13 Uhr ET
CrowdStrike arbeitet aktiv mit Kunden zusammen, die von der Sicherheitslücke im Single Content Update für Windows-Hosts betroffen sind. Mac- und Linux-Hosts sind nicht betroffen. Es handelt sich hierbei nicht um einen Cyberangriff.
Das Problem wird identifiziert, isoliert und behoben. Wir verweisen Kunden für die neuesten Updates auf das Support-Portal und werden weiterhin vollständige und kontinuierliche öffentliche Updates auf unserem Blog bereitstellen.
Darüber hinaus empfehlen wir Organisationen, sicherzustellen, dass sie über offizielle Kanäle mit CrowdStrike-Vertretern kommunizieren.
Unser Team ist voll mobilisiert, um die Sicherheit und Stabilität der CrowdStrike-Kunden zu gewährleisten.
Wir verstehen den Ernst der Lage und bedauern die Unannehmlichkeiten und Störungen zutiefst. Wir arbeiten mit allen betroffenen Kunden zusammen, um sicherzustellen, dass die Systeme gesichert sind und sie die Dienste bereitstellen können, denen die Kunden vertrauen.
Wir versichern unseren Kunden, dass CrowdStrike normal funktioniert und dass dieses Problem keine Auswirkungen auf unsere Falcon-Plattformsysteme hat. Wenn Ihre Computer normal laufen und Falcon Sensor installiert ist, ist ihre Sicherheit nicht beeinträchtigt.
Nachfolgend finden Sie die neueste technische Warnung von CrowdStrike, weitere Informationen zu dem Problem und Abhilfemaßnahmen, die Organisationen ergreifen können. Wir werden unserer Community und unserer Branche weiterhin Aktualisierungen zur Verfügung stellen, sobald diese verfügbar sind.
Zusammenfassung
Einzelheiten
- Zu den Symptomen von Hosts, bei denen ein Falcon Sensor-bezogener Error Check/Blue Screen-Fehler auftritt, gehören:
- Da die problematische Kanaldatei geändert wurde, ist für nicht betroffene Windows-Hosts keine Aktion erforderlich.
- Windows-Hosts, die nach 0527 UTC online geschaltet werden, sind ebenfalls nicht betroffen
- Dieses Problem betrifft nicht Mac- oder Linux-basierte Hosts
- Kanaldatei „C-00000291*.sys“ mit Zeitstempel 0527 UTC oder neuere (gute) Version zurückgegeben.
- Die problematische Version ist die Kanaldatei „C-00000291*.sys“ mit dem Zeitstempel 0409 UTC.
- Hinweis: Es ist normal, mehrere „C-00000291*.sys-Dateien im CrowdStrike-Verzeichnis zu haben – bis Eins Dateien im Ordner haben einen Zeitstempel von 0527 UTC oder später und sind aktive Inhalte.
Aktuelle Aktion
- CrowdStrike Engineering hat die mit diesem Problem verbundene Inhaltsbereitstellung identifiziert und diese Änderungen implementiert.
- Wenn die Hosts immer noch ausgefallen sind und nicht online sein können, um Kanaldateiänderungen zu empfangen, können Sie die folgenden Lösungsschritte verwenden.
- Wir versprechen es unseren Kunden CrowdStrike läuft normal und dieses Problem hat keine Auswirkungen auf unsere Falcon-Plattformsysteme. Wenn Ihre Computer normal laufen und Falcon Sensor installiert ist, ist ihre Sicherheit nicht beeinträchtigt. Die Dienste Falcon Complete und OverWatch waren von dem Vorfall nicht betroffen.
Abfrage zur Identifizierung infizierter Hosts mit erweiterter Ereignissuche
Bitte lesen Sie diesen KB-Artikel: So identifizieren Sie Hosts, die für Windows-Abstürze anfällig sind (PDF) oder Melden Sie sich an, um das Support-Portal anzuzeigen.
Armaturenbrett
Ähnlich wie bei der oben genannten Abfrage steht nun ein Dashboard zur Verfügung, das die betroffenen Kanäle und CIDs sowie die betroffenen Sensoren anzeigt. Abhängig von Ihren Abonnements ist dies im Konsolenmenü verfügbar:
- Next GEN SIEM > Dashboard oder;
- Entdecken > Dashboards
- Benannt: hosts_possably_impacted_by_windows_crashes
Hinweis: Das Dashboard kann nicht mit dem „Live“-Button genutzt werden
Artikel zur automatischen Wiederherstellung:
Bitte lesen Sie diesen Artikel: Automatische Wiederherstellung nach Bluescreen auf Windows-Instanzen auf der GCP (PDF) oder Melden Sie sich an, um das Support-Portal anzuzeigen.
Lösungsschritte für einzelne Hosts:
- Starten Sie den Host neu, um ihm die Möglichkeit zu geben, die wiederhergestellte Kanaldatei herunterzuladen. Wir empfehlen dringend, den Host vor dem Neustart in ein kabelgebundenes Netzwerk (im Gegensatz zu WLAN) zu vernetzen, da der Host über Ethernet deutlich schneller eine Internetverbindung erhält.
- Wenn der Host erneut abstürzt, dann:
- Starten Sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung
- Hinweis: Die Platzierung des Hosts in einem kabelgebundenen Netzwerk (im Gegensatz zu WLAN) und die Verwendung des abgesicherten Modus mit Netzwerk kann bei der Fehlerbehebung hilfreich sein.
- Navigieren Sie zum Verzeichnis %WINDIR%\System32\drivers\CrowdStrike
- Die Windows-Wiederherstellung ist standardmäßig auf X:\windows\system32 eingestellt
- Navigieren Sie zunächst zur entsprechenden Partition (Standard ist C:\) und dann zum Crowdstrike-Verzeichnis:
- C:
- cd windows\system32\drivers\crowdstrike
- Hinweis: Navigieren Sie in WinRE/WinPE zum Verzeichnis Windows\System32\drivers\CrowdStrike des Betriebssystem-Volumes
- Suchen Sie die Datei, die mit „C-00000291*.sys“ übereinstimmt, und löschen Sie sie.
- Nicht Löschen oder ersetzen Sie alle anderen Dateien oder Ordner
- Starten Sie den Host kalt
- Stoppen Sie den Host.
- Starten Sie den Host im ausgeschalteten Zustand.
Hinweis: Mit BitLocker verschlüsselte Hosts erfordern möglicherweise einen Wiederherstellungsschlüssel.
Lösungsschritte für eine öffentliche Cloud oder eine ähnliche Umgebung, einschließlich virtueller Umgebungen:
Option 1:
- Trennen Sie das Betriebssystemdatenträger-Volume vom betroffenen virtuellen Server
- Erstellen Sie als Vorsichtsmaßnahme gegen unbeabsichtigte Änderungen einen Snapshot oder ein Backup des Festplatten-Volumes, bevor Sie fortfahren.
- Schließen Sie das Modul an den neuen virtuellen Server an bzw. mounten Sie es
- Navigieren Sie zum Verzeichnis %WINDIR%\System32\drivers\CrowdStrike
- Suchen Sie die Datei, die mit „C-00000291*.sys“ übereinstimmt, und löschen Sie sie.
- Trennen Sie das Volume vom neuen virtuellen Server
- Verbinden Sie das feste Volume erneut mit dem betroffenen virtuellen Server
Option 2:
- Kehren Sie vor 0409 UTC zu einem Schnappschuss zurück.
AWS-spezifische Dokumentation:
Blaue Umgebungen:
Wiederherstellungsschlüssel für den Benutzerzugriff in einem Portal zum Arbeitsplatz
Wenn diese Einstellung aktiviert ist, können Benutzer den BitLocker-Wiederherstellungsschlüssel vom Workplace ONE-Portal abrufen, ohne den Helpdesk um Hilfe zu bitten. Befolgen Sie die nächsten Schritte, um einen Wiederherstellungsschlüssel im Workspace ONE-Portal zu aktivieren. Bitte sehen Sie sich das an Omnisa-Aufsatz Für mehr Informationen.
Windows-Verschlüsselungsverwaltung über Tanium
BitLocker-Wiederherstellung über Citrix
KBs im Zusammenhang mit der BitLocker-Wiederherstellung:
Zusätzliche Ressourcen:
„Fernsehexperte. Schriftsteller. Extremer Gamer. Subtil charmanter Webspezialist. Student. Böser Kaffeefan.“
More Stories
Die Schweiz muss ihren Ruf als Zufluchtsort für Kriminelle, Steuerhinterzieher und Sanktionsbrecher ändern
Neuste Bayes-Superyacht von Mike Lynch: Der Besatzung droht ein strafrechtliches Ermittlungsverfahren, weil die Frau des Tycoons „die Yacht nicht ohne Familie verlassen wollte“
Neuste Bayes-Superyacht von Mike Lynch: Der Besatzung droht ein strafrechtliches Ermittlungsverfahren, weil die Frau des Tycoons „die Yacht nicht ohne Familie verlassen wollte“