CrowdStrike řešení působilo modrou smrt (Blue Screen of Death) v MS Windows
U EDR/XDR produktu společnosti CrowdStrike došlo 19. července k situaci, kdy agentní řešení způsobovalo na stanicích a serverech takzvanou modrou smrt (Blue Screen of Death) na Microsoft Windows platformě. Dotklo se to stanic a serverů bez rozdílu na nainstalované verzi agentů, a to celosvětově. Situaci jsme průběžně sledovali a aktualizovali informace.
Dne 19. července 2024 v 06:09 SELČ nasadila společnost CrowdStrike v rámci rutinních operací do systémů Windows aktualizaci konfigurace senzoru. Tato aktualizace vedla k logické chybě způsobující pády systému do modré obrazovky (BSOD) na postižených stanicích. U zákazníků používajících senzor Falcon pro systém Windows verze 7.11 a vyšší, kteří byli 19. července 2024 mezi 06:09 SELČ a 07:27 SELČ online, mohlo dojít na stanicích k výpadkům v důsledku selhání systému.
Další informace
Stanice, které v tomto období stáhla aktualizaci konfigurace, byla náchylná k pádu. Specifické konfigurační soubory, známé jako „Channel Files“ a jsou nedílnou součástí mechanismů ochrany senzoru Falcon, se staly spouštěčem incidentu. Tyto soubory jsou pravidelně aktualizovány tak, aby se přizpůsobily novým taktikám a postupům identifikovaným společností CrowdStrike. Ovlivněný soubor Channel File v tomto incidentu, označený jako 291, řídí vyhodnocování spuštění pojmenovaných rour (named pipes) v systémech Windows.
Potvrzené skutečnosti:
Problém se týkal pouze stanic s operačním systémem Windows a nainstalovaným agentem verze 7.11 platformy Crowdstrike FalconStanice, které nebyly online dne 19. července mezi 06:09 a 7:27 SELČ, se problém nedotknul
Mac nebo Linux stanice nebyly postiženy
Channel file "C-00000291*.sys" s časovou známkou 0527 nebo pozdější je již v pořádku
Channel file "C-00000291*.sys" s časovou známkou 0409 způsoboval výpadek
Technické podrobnosti:
V systémech Windows se „channel files“ nacházejí v následujícím adresáři:C:\Windows\System32\drivers\CrowdStrike\
a mají název souboru, který začíná „c-“. Každý soubor kanálu je označen jedinečným číslem. Ovlivněný soubor v této události je 291 a bude mít název souboru, který začíná “C-00000291-” a končí příponou „.sys“. Ačkoliv tyto soubory končí příponou SYS, nejsou to ovladače jádra.
„Channel file“ 291 řídí, jak Falcon vyhodnocuje exekuci „named pipes1“ v systémech Windows. „Name pipes“ se používají pro běžnou mezisprocesovou nebo mezisystémovou komunikaci v systému Windows. Aktualizace, která proběhla v 06:09 SELČ, byla navržena tak, aby cílila na nově pozorované, škodlivé „named pipes“, které se používají běžnými C2 kanály v kybernetických útocích. Aktualizace konfigurace vyvolala logickou chybu, která vedla k pádu operačního systému. Společnost CrowdStrike již opravila logickou chybu aktualizací obsahu v „channel file“ 291. Agent Falcon i nadále vyhodnocuje a chrání před zneužitím „named pipes“.
Postup identifikace a opravy:
Krok 1: Identifikace stanic na platformě FalconPomocí rozšířeného dotazu pro vyhledávání událostí.
Dotazy využívané ovládacími panely jsou uvedeny v dolní části příslušných článků KB ovládacího panelu.
Prostřednictvím panelu nástrojů
K dispozici je aktualizovaný granulární řídicí panel, který zobrazuje hostitele se systémem Windows ovlivněné závadou aktualizace obsahu popsanou v tomto technickém upozornění. Viz „Granular status dashboards to identify Windows hosts impacted by content issue (v8.6)“. Všechny dotazy využívané ovládacími panely jsou uvedeny v dolní části příslušných článků KB o ovládacích panelech.
Krok 2: Náprava
Pokud stanice stále padají a nejsou schopni zůstat online, aby mohli přijímat aktualizace z „Channel File“, lze použít níže uvedené kroky.
Náprava jednotlivých stanic:
Restartujte stanice, aby měli možnost stáhnout opravený soubor kanálu. Důrazně doporučujeme před restartem stanice připojit ke kabelové síti (nikoli WiFi), protože stanice získá připojení k internetu prostřednictvím ethernetu podstatně rychleji.
Pokud hostitel při restartu opět spadne:
Varianta 1 - ruční postup
Podrobný postup naleznete v tomto článku společnosti Microsoft.
Poznámka: Hostitelé se šifrováním Bitlocker mohou vyžadovat klíč pro obnovení.
Možnost 2 - Automatizovaně prostřednictvím zaváděcího klíče USB
Postupujte podle pokynů v tomto článku KB.
Poznámka: Hostitelé se šifrováním Bitlocker mohou vyžadovat klíč pro obnovení.
Další podrobnosti k nápravným opatřením najdete na support portále společnosti Crowdstrike.
Popis incidentu společnosti Crowdstrike najdete na jejich blogu.
Kontakt pro média
Michal Malysa
Head of Brand and Communications
- +420 775708086
- michal.malysa@aricoma.com
- Aricoma logo pro stažení.
-
31. 10. 2024 | Jak se dnes buduje a spravuje moderní škálovatelné datacentrum?
-
27. 10. 2024 | Zkušenosti s využitím umělé inteligence v našich projektech a typových řešeních
-
22. 10. 2024 | Praktické využití možností umělé inteligence ve vaší organizaci
-
20. 10. 2024 | Povyšte kybernetickou bezpečnost a zjednodušte si správu IT prostředí s inovativním přístupem Cisco
-
17. 10. 2024 | Zabezpečení a optimalizace provozu výrobní sítě v Dormer Pramet Šumperk
-
16. 10. 2024 | Přehledně o Dell storage: Od základních úložišť po pokročilé deduplikační systémy
-
11. 10. 2024 | Webový portál a interní informační systém pro Ministerstvo financí
-
10. 10. 2024 | Více než jen AI inovace v podzimním vydání Dynamics 365 Business Central 2024 wave 2
-
23. 9. 2024 | Zvýšili jsme bezpečnost a efektivitu IT infrastruktury ve společnosti SATUM
-
19. 9. 2024 | Spojení Dell Technologie a AMD dává dnes v podnikových datacentrech velký smysl
-
17. 9. 2024 | Bezpečnostní bublina aneb co je jasné nám, ostatním být nemusí
-
13. 9. 2024 | Pomůžeme vám dosáhnout větší produktivity díky pracovním stanicím Dell s AI
-
5. 9. 2024 | Aricoma odstartovala expanzi na západní trhy. Koupila lucemburské vývojáře Neofacto
-
4. 9. 2024 | Pečlivě vybrané notebooky a videokonferenční řešení od HP. Jak vybrat ty ideální pro vaši firmu?
-
3. 9. 2024 | Aricoma partnerem Letní školy kvantových technologií 2024
-
2. 9. 2024 | Jak na záložní zdroje napájení pro IT potřeby ve středních a menších organizacích?
-
21. 8. 2024 | O jaké technologie se dnes opřít při budování spolehlivého datacentra?
-
13. 8. 2024 | Křehkost IT systémů a nebezpečí jediné chyby
-
25. 7. 2024 | Jak předejít katastrofě při implementaci ERP systému
-
16. 7. 2024 | Bezpečná a moderní síťová infrastruktura pro Povodí Labe
-
12. 7. 2024 | Umělá inteligence jako zbraň v rukou útočníků. Naučme se je odhalit.
-
26. 6. 2024 | Zajišťujeme klíčové firemní procesy pro Wood & Paper
-
18. 6. 2024 | Jak ovlivní vaši práci nové podnikové notebooky Dell s umělou inteligencí?
-
12. 6. 2024 | Jak oživit bezpečnostní školení a udělat čtení dokumentů zábavnějším?
-
10. 6. 2024 | Jak využít AI Copilot v každém oddělení firmy
-
4. 6. 2024 | Neviditelná ochrana a další štíty pro obranu vašich podnikových dat
-
3. 6. 2024 | Dlouhodobá podpora SAP pro spolehlivost HR procesů ve společnosti Continental
-
28. 5. 2024 | Umělá inteligence v pracovních noteboocích HP. Jak ovlivní produktivitu zaměstnanců?
-
27. 5. 2024 | Úspěšný SAP projekt, na kterém se podílíme, získal mezinárodní ocenění
-
23. 5. 2024 | Aricoma koupila KCT Data. Podstatně rozšiřuje SAP nabídku
-
22. 5. 2024 | Aricoma CSIRT tým má akreditaci Trusted Introducer
-
21. 5. 2024 | 5 kroků úspěšné implementace Copilot pro Microsoft 365
-
21. 5. 2024 | Jak vybrat DX platformu a na co při jejím výběru nezapomenout?
-
.png?width=408)
20. 5. 2024 | Jak budovat datacentrum se silnými bezpečnostními výhodami?
-
15. 5. 2024 | Modernizací IT infrastruktury jsme podpořili kontinuitu podnikání společnosti ZLKL
-
13. 5. 2024 | Další štíty pro víceúrovňovou kyberbezpečnost vaší organizace
-
9. 5. 2024 | Pokročilé bezpečnostní a správcovské funkce pro moderní podniky
-
7. 5. 2024 | Zvýšili jsme kvalitu rozhodovacích procesů na všech úrovních ve Škoda Auto
-
29. 4. 2024 | Od dubna 2024 občanský i řidičský průkaz do auta nepotřebujete
-
26. 4. 2024 | Školením uživatelů eliminujme novou taktiku kybernetických útoků. Jako ve fotbale.
-
23. 4. 2024 | Sedm důvodů proč plně podporovat provoz Windows 11 v podnikovém prostředí již dnes
-
22. 4. 2024 | Efektivní řešení pro vaše digitální projekty
-
19. 4. 2024 | Pomáháme naplňovat strategii digitalizace a dalších procesů ve společnosti innogy
-
18. 4. 2024 | Aricoma zaznamenala v Česku sérii kybernetických útoků
-
17. 4. 2024 | Nasazení spolehlivé a robustní infrastruktury pro JEDNOTU, spotřební družstvo v Boskovicích