aricoma logo avatar

#1 v podnikovom IT

Riešenie CrowdStrike spôsobovalo modrú smrť v systéme MS Windows (Blue Screen of Death)

Pri produkte EDR/XDR od spoločnosti CrowdStrike sa 19. júla 2024 vyskytla situácia, keď agentové riešenie spôsobovalo na staniciach a serveroch takzvanú modrú smrť (Blue Screen of Death) na platforme Microsoft Windows. Táto situácia bola globálna a ovplyvňuje stanice a servery bez ohľadu na nainštalovanú verziu agenta. Situáciu sme priebežne monitorovali a aktualizovali informácie.

Dňa 19. júla 2024 o 06:09 SELČ nasadila spoločnosť CrowdStrike v rámci rutinných operácií aktualizáciu konfigurácie senzorov v systémoch Windows. Táto aktualizácia mala za následok logickú chybu, ktorá spôsobila pád systému na modrú obrazovku (BSOD) na postihnutých staniciach. U zákazníkov používajúcich snímač Falcon pre systém Windows verzie 7.11 a vyššej, ktorí boli online medzi 06:09 CEST a 07:27 CEST dňa 19. júla 2024, mohlo dôjsť k zlyhaniu systému na staniciach.

Ďalšie informácie

Stanice, ktoré si v tomto období stiahli aktualizáciu konfigurácie, boli náchylné na pády. Spúšťačom incidentu boli špecifické konfiguračné súbory, známe ako „Channel Files“ (kanálové súbory), ktoré sú neoddeliteľnou súčasťou ochranných mechanizmov senzorov Falcon. Tieto súbory sa pravidelne aktualizujú, aby sa prispôsobili novým taktikám a postupom identifikovaným spoločnosťou CrowdStrike. Ovplyvnený súbor Channel File v tomto incidente, identifikovaný ako 291, riadi vyhodnocovanie vykonávania pomenovaných named pipes v systémoch Windows.

 

Potvrdené skutočnosti:

Problém sa týkal len staníc so systémom Windows a nainštalovaným agentom Crowdstrike Falcon verzie 7.11.
Stanice, ktoré neboli online 19. júla medzi 06:09 a 07:27 SELČ, neboli ovplyvnené.
Stanice s operačným systémom Mac alebo Linux neboli ovplyvnené
Súbor kanála „C-00000291*.sys“ s časovou značkou 0527 alebo novšou je teraz v poriadku
Súbor kanála „C-00000291*.sys“ s časovou značkou 0409 spôsoboval výpadok
 

Technické podrobnosti:

V systémoch Windows sa „kanálové súbory“ nachádzajú v nasledujúcom adresári:

C:\Windows\System32\drivers\CrowdStrike\

a názov súboru sa začína písmenom „c-“. Každý kanálový súbor je identifikovaný jedinečným číslom. Súbor, ktorého sa táto udalosť týka, je 291 a jeho názov začína na „C-00000291-“ a končí na „.sys“. Hoci tieto súbory končia príponou SYS, nie sú to ovládače jadra.
Súbor „channel file“ 291 kontroluje, ako Falcon vyhodnocuje vykonávanie „named pipes1“ v systémoch Windows. „Pomenované potrubia“ sa používajú na bežnú komunikáciu medzi procesmi alebo medzi systémami v systéme Windows. Aktualizácia, ktorá sa uskutočnila o 06:09 SELČ, bola navrhnutá tak, aby sa zamerala na novo pozorované, škodlivé „pomenované potrubia“, ktoré sa používajú bežnými kanálmi C2 pri kybernetických útokoch. Aktualizácia konfigurácie spustila logickú chybu, ktorá viedla k pádu operačného systému. Spoločnosť CrowdStrike už logickú chybu opravila aktualizáciou obsahu v súbore „channel file“ 291. Agent Falcon naďalej vyhodnocuje a chráni pred exploitmi typu „named pipes“.
 

Identifikácia a postup opravy:

Krok 1: Identifikujte stanice na platforme Falcon
Pomocou rozšíreného dotazu na vyhľadávanie udalostí.
Dotazy, ktoré používajú ovládacie panely, sú uvedené v dolnej časti príslušných článkov KB ovládacieho panelu.

Prostredníctvom panela nástrojov
Je k dispozícii aktualizovaný granulárny ovládací panel, ktorý zobrazuje hostiteľské stanice systému Windows postihnuté chybou aktualizácie obsahu opísanou v tomto technickom upozornení.  Pozrite si časť „Granulárne stavové panely na identifikáciu hostiteľov systému Windows ovplyvnených problémom s obsahom (v8.6)“. Všetky dotazy používané kontrolnými panelmi sú uvedené v dolnej časti príslušných článkov KB o kontrolných paneloch.

Krok 2: Náprava
Ak stanice stále padajú a nedokážu zostať online, aby prijímali aktualizácie z „Channel File“, je možné použiť nasledujúce kroky.

Oprava jednotlivých staníc:
Reštartujte stanice, aby si mohli stiahnuť opravený súbor kanálov.  Pred reštartovaním stanice dôrazne odporúčame pripojiť sa ku káblovej sieti (nie k sieti WiFi), pretože stanica získa internetové pripojenie prostredníctvom siete Ethernet oveľa rýchlejšie.
Ak pri reštartovaní stanice dôjde k opätovnému pádu hostiteľa:

Možnosť 1 - manuálny postup
Podrobný postup nájdete v tomto článku spoločnosti Microsoft.
Poznámka: Hostitelia so šifrovaním Bitlocker môžu vyžadovať kľúč na obnovenie.

Možnosť 2 - automatizovane prostredníctvom štartovacieho kľúča USB
Postupujte podľa pokynov v tomto článku KB.
Poznámka: Hostitelia so šifrovaním Bitlocker môžu vyžadovať kľúč na obnovenie.

Ďalšie podrobnosti o nápravných opatreniach nájdete na portáli podpory spoločnosti Crowdstrike.

Popis incidentu spoločnosti Crowdstrike nájdete na jej blogu.

Zdieľať

Kontakt pre médiá

Michal Malysa

Head of Brand and Communications