Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
21.07.2024

CrowdStrike: Инструкция по устранению и рекомендации по безопасности

CrowdStrike активно работает с клиентами, пострадавшими от дефекта в одном из обновлений для Windows -хостов. Хосты на Mac и Linux не затронуты. Важно отметить, что происшествие не является кибератакой.

Проблема выявлена, изолирована, и решение уже развернуто. Клиентам рекомендуется посетить портал поддержки для получения последних обновлений и следить за обновлениями на блоге компании .

Организациям следует общаться с представителями CrowdStrike через официальные каналы.

Команда CrowdStrike полностью мобилизована для обеспечения безопасности и стабильности клиентских систем. Компания осознает серьезность ситуации и приносит извинения за неудобства и перебои. CrowdStrike сотрудничает со всеми пострадавшими клиентами для восстановления систем и возобновления предоставления услуг.

CrowdStrike подтверждает нормальное функционирование платформы Falcon. Проблема не влияет на системы платформы. При нормальной работе систем установка Falcon Sensor не повлияет на их защиту.

Представлен технический отчет с дополнительной информацией о проблеме и шагами по устранению для организаций. Компания продолжит предоставлять обновления сообществу и индустрии по мере их появления.

Детали

  • Симптомы включают ошибку bugchecklue screen, связанную с Falcon Sensor.
  • Windows-хосты, не затронутые проблемой, не требуют действий, так как проблемный файл канала возвращен к предыдущей версии.
  • Windows-хосты, подключенные после 0527 UTC, также не будут затронуты.
  • Проблема не затрагивает хосты на Mac или Linux.
  • Файл канала "C-00000291*.sys" с временной меткой 0527 UTC или позже является исправленной версией.
  • Файл канала "C-00000291*.sys" с временной меткой 0409 UTC является проблемной версией.

Примечание: Наличие нескольких файлов "C-00000291*.sys" в директории CrowdStrike нормально - если хотя бы один файл имеет временную метку 0527 UTC или позже, он будет активным содержимым.

Текущие действия

  • Инженеры CrowdStrike выявили, что развертывание контента связано с проблемой, и вернули изменения.
  • Если хосты продолжают сбоить и не могут оставаться в сети для получения изменений файла канала, можно использовать приведенные ниже шаги по устранению.
  • CrowdStrike подтверждает нормальное функционирование. Проблема не влияет на системы платформы Falcon. При нормальной работе систем установка Falcon Sensor не повлияет на их защиту. Услуги Falcon Complete и OverWatch не нарушены инцидентом.

Поиск затронутых хостов с помощью расширенного поиска событий

Ознакомьтесь с этой статьей KB (pdf) .

Панель мониторинга

Доступна панель мониторинга, отображающая затронутые каналы, CID и сенсоры. В зависимости от подписок, панель доступна в меню консоли:

  • Next-GEN SIEM > Dashboard или;
  • Investigate > Dashboards
  • Название: hosts_possibly_impacted_by_windows_crashes

Примечание: Панель мониторинга не может использоваться с кнопкой «Live»

Автоматизированные статьи по восстановлению:

Ознакомьтесь с этой статьей (pdf) .

Шаги по устранению для отдельных хостов:

  1. Перезагрузите хост для загрузки возвращенного файла канала. Рекомендуется подключить хост к проводной сети перед перезагрузкой для более быстрого подключения к интернету.
  2. Если хост снова сбоит:
    • Загрузите Windows в безопасном режиме или в среде восстановления Windows
    • Перейдите в директорию %WINDIR%System32driversCrowdStrike
    • Найдите файл "C-00000291*.sys" и удалите его
    • Полностью перезагрузите хост (выключите и запустите из выключенного состояния)

Примечание: Хосты, зашифрованные с помощью BitLocker, могут потребовать ключ восстановления.

Шаги по устранению для публичного облака или аналогичной среды:

Вариант 1:

  1. Отключите том диска операционной системы от затронутого виртуального сервера
  2. Создайте снимок или резервную копию тома диска
  3. Подключите том к новому виртуальному серверу
  4. Перейдите в директорию %WINDIR%System32driversCrowdStrike
  5. Найдите файл "C-00000291*.sys" и удалите его
  6. Отключите том от нового виртуального сервера
  7. Подключите исправленный том к затронутому виртуальному серверу

Вариант 2:

  • Вернитесь к снимку, сделанному до 0409 UTC.

Дополнительные ресурсы:

  • Восстановление ресурсов AWS, затронутых агентом CrowdStrike Falcon
  • Статус Azure
  • Ключ восстановления доступа пользователя в портале Workspace ONE
  • Управление шифрованием Windows с помощью Tanium
  • Восстановление BitLocker через Citrix