Workaround para solucionar el problema de Crowdstrike

Published Date: Jul 19, 2024

Resumen

CrowdStrike es consciente de los informes de caídas en hosts Windows relacionados con el Falcon Sensor.

Detalles

  • Los síntomas incluyen hosts que experimentan un error de pantalla bugcheck\blue relacionado con el sensor Falcon.
  • Los hosts Windows que no han sido afectados no requieren ninguna acción ya que el canal problemático ha sido revertido.
  • Los hosts Windows que se conecten después de las 0527 UTC tampoco se verán afectados.
  • Este problema no afecta a los servidores basados en Mac o Linux.
  • El archivo de canal «C-00000291.sys» con fecha de 0527 UTC o posterior es la versión revertida (buena).
  • El archivo de canal «C-00000291.sys» con marca de tiempo de 0409 UTC es la versión problemática.

Acción actual

CrowdStrike Engineering ha identificado un despliegue de contenido relacionado con este problema y ha revertido esos cambios.

Si los hosts siguen fallando y no pueden permanecer en línea para recibir los cambios de archivos de canal, se pueden seguir los siguientes pasos para solucionar este problema:

Solución Pasos para hosts individuales:

  • Reinicie el host para darle la oportunidad de descargar el archivo de canal revertido. Si el host se bloquea de nuevo, entonces:
    • Arranque Windows en modo seguro o en el entorno de recuperación de Windows.
    • Vaya al directorio %WINDIR%\System32\drivers\CrowdStrike
    • Localice el archivo «C-00000291*.sys» y elimínelo.
    • Arranque el sistema normalmente.

Nota: Los hosts encriptados con Bitlocker pueden requerir una clave de recuperación.

Solución Pasos para la nube pública o entorno similar incluyendo virtual:

Opción 1:

  • Separe el volumen de disco del sistema operativo del servidor virtual afectado.
  • Cree una instantánea o una copia de seguridad del volumen de disco antes de seguir adelante como medida de precaución contra cambios no deseados.
  • Adjunte/monte el volumen a un nuevo servidor virtual.
  • Vaya al directorio %WINDIR%\System32\drivers\CrowdStrike
  • Localice el archivo «C-00000291*.sys» y elimínelo.
  • Desconecte el volumen del nuevo servidor virtual.
  • Vuelva a conectar el volumen fijo al servidor virtual afectado.

Opción 2:

Retroceda a una instantánea anterior a las 0.409 UTC.

Pasos de solución para Azure a través de serie

  • Inicie sesión en la consola de Azure –> Vaya a Máquinas virtuales –> Seleccione la VM.
  • Arriba a la izquierda en la consola –> Click : «Connect» –> Click –> Connect –> Click «More ways to Connect» –> Click : «SerialConsole»
  • Una vez cargada la SAC, teclea ‘cmd’ y pulsa enter.
    • Escriba el comando ‘cmd
    • Teclee : ch -si 1
  • Pulse cualquier tecla (barra espaciadora). Introduzca las credenciales de administrador
  • Escriba lo siguiente
    • bcdedit /set {actual} safeboot minimal
    • bcdedit /set {actual} safeboot network6.
  • Reinicie la VM
  • Opcional: ¿Cómo confiar en el estado de arranque? Ejecute el comando:
    • wmic COMPUTERSYSTEM GET BootupState

Para más información consulte este artículo de Microsoft (https://azure.status.microsoft/en-gb/status)

Tagged with
, , ,
Filed under
Ciberseguridad
Previous Next
For this post, the comments have been closed.