Riešenie CrowdStrike spôsobovalo modrú smrť v systéme MS Windows (Blue Screen of Death)
Pri produkte EDR/XDR od spoločnosti CrowdStrike sa 19. júla 2024 vyskytla situácia, keď agentové riešenie spôsobovalo na staniciach a serveroch takzvanú modrú smrť (Blue Screen of Death) na platforme Microsoft Windows. Táto situácia bola globálna a ovplyvňuje stanice a servery bez ohľadu na nainštalovanú verziu agenta. Situáciu sme priebežne monitorovali a aktualizovali informácie.
Dňa 19. júla 2024 o 06:09 SELČ nasadila spoločnosť CrowdStrike v rámci rutinných operácií aktualizáciu konfigurácie senzorov v systémoch Windows. Táto aktualizácia mala za následok logickú chybu, ktorá spôsobila pád systému na modrú obrazovku (BSOD) na postihnutých staniciach. U zákazníkov používajúcich snímač Falcon pre systém Windows verzie 7.11 a vyššej, ktorí boli online medzi 06:09 CEST a 07:27 CEST dňa 19. júla 2024, mohlo dôjsť k zlyhaniu systému na staniciach.
Ďalšie informácie
Stanice, ktoré si v tomto období stiahli aktualizáciu konfigurácie, boli náchylné na pády. Spúšťačom incidentu boli špecifické konfiguračné súbory, známe ako „Channel Files“ (kanálové súbory), ktoré sú neoddeliteľnou súčasťou ochranných mechanizmov senzorov Falcon. Tieto súbory sa pravidelne aktualizujú, aby sa prispôsobili novým taktikám a postupom identifikovaným spoločnosťou CrowdStrike. Ovplyvnený súbor Channel File v tomto incidente, identifikovaný ako 291, riadi vyhodnocovanie vykonávania pomenovaných named pipes v systémoch Windows.
Potvrdené skutočnosti:
Problém sa týkal len staníc so systémom Windows a nainštalovaným agentom Crowdstrike Falcon verzie 7.11.Stanice, ktoré neboli online 19. júla medzi 06:09 a 07:27 SELČ, neboli ovplyvnené.
Stanice s operačným systémom Mac alebo Linux neboli ovplyvnené
Súbor kanála „C-00000291*.sys“ s časovou značkou 0527 alebo novšou je teraz v poriadku
Súbor kanála „C-00000291*.sys“ s časovou značkou 0409 spôsoboval výpadok
Technické podrobnosti:
V systémoch Windows sa „kanálové súbory“ nachádzajú v nasledujúcom adresári:C:\Windows\System32\drivers\CrowdStrike\
a názov súboru sa začína písmenom „c-“. Každý kanálový súbor je identifikovaný jedinečným číslom. Súbor, ktorého sa táto udalosť týka, je 291 a jeho názov začína na „C-00000291-“ a končí na „.sys“. Hoci tieto súbory končia príponou SYS, nie sú to ovládače jadra.
Súbor „channel file“ 291 kontroluje, ako Falcon vyhodnocuje vykonávanie „named pipes1“ v systémoch Windows. „Pomenované potrubia“ sa používajú na bežnú komunikáciu medzi procesmi alebo medzi systémami v systéme Windows. Aktualizácia, ktorá sa uskutočnila o 06:09 SELČ, bola navrhnutá tak, aby sa zamerala na novo pozorované, škodlivé „pomenované potrubia“, ktoré sa používajú bežnými kanálmi C2 pri kybernetických útokoch. Aktualizácia konfigurácie spustila logickú chybu, ktorá viedla k pádu operačného systému. Spoločnosť CrowdStrike už logickú chybu opravila aktualizáciou obsahu v súbore „channel file“ 291. Agent Falcon naďalej vyhodnocuje a chráni pred exploitmi typu „named pipes“.
Identifikácia a postup opravy:
Krok 1: Identifikujte stanice na platforme FalconPomocou rozšíreného dotazu na vyhľadávanie udalostí.
Dotazy, ktoré používajú ovládacie panely, sú uvedené v dolnej časti príslušných článkov KB ovládacieho panelu.
Prostredníctvom panela nástrojov
Je k dispozícii aktualizovaný granulárny ovládací panel, ktorý zobrazuje hostiteľské stanice systému Windows postihnuté chybou aktualizácie obsahu opísanou v tomto technickom upozornení. Pozrite si časť „Granulárne stavové panely na identifikáciu hostiteľov systému Windows ovplyvnených problémom s obsahom (v8.6)“. Všetky dotazy používané kontrolnými panelmi sú uvedené v dolnej časti príslušných článkov KB o kontrolných paneloch.
Krok 2: Náprava
Ak stanice stále padajú a nedokážu zostať online, aby prijímali aktualizácie z „Channel File“, je možné použiť nasledujúce kroky.
Oprava jednotlivých staníc:
Reštartujte stanice, aby si mohli stiahnuť opravený súbor kanálov. Pred reštartovaním stanice dôrazne odporúčame pripojiť sa ku káblovej sieti (nie k sieti WiFi), pretože stanica získa internetové pripojenie prostredníctvom siete Ethernet oveľa rýchlejšie.
Ak pri reštartovaní stanice dôjde k opätovnému pádu hostiteľa:
Možnosť 1 - manuálny postup
Podrobný postup nájdete v tomto článku spoločnosti Microsoft.
Poznámka: Hostitelia so šifrovaním Bitlocker môžu vyžadovať kľúč na obnovenie.
Možnosť 2 - automatizovane prostredníctvom štartovacieho kľúča USB
Postupujte podľa pokynov v tomto článku KB.
Poznámka: Hostitelia so šifrovaním Bitlocker môžu vyžadovať kľúč na obnovenie.
Ďalšie podrobnosti o nápravných opatreniach nájdete na portáli podpory spoločnosti Crowdstrike.
Popis incidentu spoločnosti Crowdstrike nájdete na jej blogu.
Kontakt pre médiá
Michal Malysa
Head of Brand and Communications
- +420 775708086
- michal.malysa@aricoma.com
- Logo Aricoma pre stiahnutie.
-
5. 9. 2024 | Aricoma odštartovala svoju expanziu na západné trhy. Kúpila luxemburských vývojárov Neofacto
-
4. 9. 2024 | Starostlivo vybrané notebooky a videokonferenčné riešenia od spoločnosti HP. Ako vybrať tie ideálne?
-
26. 8. 2024 | Aricoma partnerom Letnej školy kvantových technológií 2024
-
13. 8. 2024 | Dlhodobá podpora SAP pre spoľahlivosť HR procesov v spoločnosti Continental
-
29. 7. 2024 | Prepojenie nového e-shopu s ERP pre výrobcu čerpadiel Pumpa
-
14. 7. 2024 | Zvýšili sme kvalitu rozhodovacích procesov na všetkých úrovniach v Škoda Auto
-
8. 7. 2024 | Zabezpečenie kontinuity prevádzky centrálneho úložiska kľúčových systémov skupiny E.ON v ČR
-
4. 7. 2024 | Zaisťujeme kľúčové firemné procesy pre Wood & Paper
-
30. 6. 2024 | Znižujeme množstvo manuálnej práce a zrýchľujeme obeh faktúr a zmlúv pre Heineken Slovensko
-
23. 6. 2024 | Ďalšie štíty pre viacúrovňovú kyberbezpečnosť vašej organizácie
-
19. 6. 2024 | Neviditeľná ochrana a ďalšie štíty na ochranu vašich firemných dát
-
14. 6. 2024 | Ako ovplyvnia nové podnikové notebooky Dell s umelou inteligenciou vašu prácu?
-
7. 6. 2024 | Pomáhame napĺňať stratégiu digitalizácie a ďalšie procesy v spoločnosti innogy
-
30. 5. 2024 | Volkswagen Slovakia inovuje riadenie ľudského kapitálu pomocou bezpapierovej personalistiky
-
23. 5. 2024 | Aricoma kúpila KCT Data a výrazne rozširuje ponuku SAP
-
21. 5. 2024 | Kompletne sme obnovili sieťovú infraštruktúru Krajskej nemocnice T. Baťu v Zlíne
-
20. 5. 2024 | HPE GreenLake Compute Ops Manager je ako švajčiarsky nožík pre IT manažérov
-
17. 5. 2024 | Efektívne riešenia pre vaše digitálne projekty
-
15. 5. 2024 | Ako využiť AI Copilot v každom oddelení firmy
-
13. 5. 2024 | Školením používateľov eliminujme nové taktiky kybernetických útokov. Podobne ako vo futbale.
-
30. 4. 2024 | Progresívne firemné notebooky HP: Ako ich ovplyvnila AI a čo nové do firmy prinášajú?
-
25. 4. 2024 | Sedem dôvodov, prečo plne podporovať systém Windows 11 vo firemnom prostredí už dnes
-
22. 4. 2024 | Vysokovýkonná pracovná stanica v tele elegantného notebooku? Poďte sa s nami na to pozrieť.
-
18. 4. 2024 | Moderná a bezpečná IT infraštruktúra s prevádzkovými službami pre Arkance Systems CZ
-
15. 4. 2024 | 30. ročník konferencie Aricoma SECURITY 2024 prekonal hranicu 700 návštevníkov
-
18. 3. 2024 | Väčšia kapacita, výkon, predvídateľné prevádzkové náklady. Tak môže vyzerať vaše nové dátové centrum
-
13. 3. 2024 | Umelá inteligencia v podnikaní a marketingu: Ako vám môže pomôcť Copilot
-
11. 3. 2024 | Kybernetické útoky v číslach. Štatistiky varujú, kto by sa mal báť.
-
24. 2. 2024 | Moderné konferenčné miestnosti s technológiami Logitech a Microsoft
-
23. 2. 2024 | Tri dôvody, prečo začať rok 2024 s podnikovými notebookmi Dell Latitude
-
.jpg?width=408)
21. 2. 2024 | Ideálny firemný notebook. Ako vybrať ten najlepší model pre vaše potreby?
-
15. 2. 2024 | Využite výhody prepojeného sveta Cisco Catalyst a Meraki
-
15. 2. 2024 | Služby HPE GreenLake zabezpečujú spoľahlivú prevádzku spoločnosti Ptáček – velkoobchod
-
15. 2. 2024 | Podnikové siete s pokrokovým a taktiež cenovo atraktívnym riešením
-
15. 2. 2024 | Zrýchlenie a úspora miesta aj elektriny vo vašom datacentre s novými servermi Dell PowerEdge
-
14. 2. 2024 | Výkony serverov a úložísk, odber elektriny aj cena za ňu idú prudko nahor. Ako z toho von?
-
14. 2. 2024 | Vďaka novým DELL serverom s AMD vám navrhneme úspornejšie a bezpečnejšie riešenie datacentra
-
8. 1. 2024 | Čo urobil Jack Stanfield vo filmovom thrilleri Firewall zle?
-
8. 1. 2024 | Zjednodušenie správy výpočtovej techniky od koncových bodov až po cloud
-
2. 1. 2024 | Aricoma dokončila rebranding premenovaním posledných spoločností
-
13. 12. 2023 | Prevratná novinka vo svete podnikových úložísk? Nová HPE Alletra MP
-
12. 12. 2023 | Existuje dokonalé zariadenie pre prácu z kancelárie, domova aj z ciest?
-
10. 12. 2023 | Zvýšenie úrovne kybernetickej bezpečnosti v spoločnosti HBM Pharma s.r.o.
-
30. 11. 2023 | Máte v IT tíme dostatok skúsených správcov?
-
23. 11. 2023 | Nové vylepšenia pre Dynamics 365 Business Central 2023