Declaração sobre a atualização de conteúdo do Falcon para hosts Windows

A CrowdStrike está trabalhando ativamente com clientes impactados por um defeito encontrado em uma única atualização de conteúdo para hosts Windows. Hosts Mac e Linux não são impactados. Isso não foi um ataque cibernético.

O problema foi identificado, isolado e uma correção foi implantada. Nós encaminhamos os clientes ao portal de suporte para as últimas atualizações e continuaremos a fornecer atualizações completas e contínuas em nosso site.

Recomendamos ainda que as organizações garantam que estejam se comunicando com os representantes da CrowdStrike por meio de canais oficiais.

Nossa equipe está totalmente mobilizada para garantir a segurança e a estabilidade dos clientes da CrowdStrike.

Entendemos a gravidade da situação e lamentamos profundamente o inconveniente e a interrupção. Estamos trabalhando com todos os clientes afetados para garantir que os sistemas estejam de volta e que eles possam fornecer os serviços com os quais seus clientes estão contando.

Garantimos aos nossos clientes que o CrowdStrike está operando normalmente e que esse problema não afeta nossos sistemas de plataforma Falcon. Se seus sistemas estiverem operando normalmente, não haverá impacto em sua proteção se o Falcon Sensor estiver instalado.

Abaixo está o mais recente Alerta de Tecnologia CrowdStrike com mais informações sobre o problema e as etapas de solução alternativa que as organizações podem tomar. Continuaremos a fornecer atualizações para nossa comunidade e para a indústria conforme elas se tornarem disponíveis.

Resumo

• A CrowdStrike está ciente de relatos de falhas em hosts Windows relacionadas ao Falcon Sensor.

Detalhes

• Os sintomas incluem hosts enfrentando um erro de verificação de bug\tela azul relacionado ao sensor Falcon.
• Os hosts Windows que não foram afetados não precisam de nenhuma ação, pois o arquivo de canal problemático foi revertido.
• Os hosts do Windows que forem colocados online após 0527 UTC também não serão afetados
• Os hosts que executam o Windows 7/2008 R2 não são afetados
• Este problema não está afetando hosts baseados em Mac ou Linux
• O arquivo de canal “C-00000291*.sys” com registro de data e hora de 0527 UTC ou posterior é a versão revertida (boa).
• O arquivo de canal “C-00000291*.sys” com registro de data e hora 0409 UTC é a versão problemática.
  • Observação: é normal que vários arquivos “C-00000291*.sys estejam presentes no diretório CrowdStrike. Desde que um dos arquivos na pasta tenha um registro de data e hora de 0527 UTC ou posterior, esse será o conteúdo ativo.

Ação atual

• A CrowdStrike Engineering identificou uma implantação de conteúdo relacionada a esse problema e reverteu essas alterações.
• Se os hosts ainda estiverem travando e não conseguirem permanecer online para receber as alterações do arquivo de canal, as etapas de solução alternativa abaixo podem ser usadas.
• Garantimos aos nossos clientes que o CrowdStrike está operando normalmente e que esse problema não afeta nossos sistemas de plataforma Falcon . Se seus sistemas estiverem operando normalmente, não haverá impacto em sua proteção se o Falcon Sensor estiver instalado. Os serviços Falcon Complete e Overwatch não são interrompidos por esse incidente.

Consulta para identificar hosts impactados por meio da Pesquisa avançada de eventos

Consulte este artigo da KB: Como identificar hosts possivelmente afetados por falhas do Windows.

Etapas de solução alternativa para hosts individuais:

• Reinicie o host para dar a ele uma oportunidade de baixar o arquivo de canal revertido. Se o host travar novamente, então:
  • Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows
    • OBSERVAÇÃO: Colocar o host em uma rede com fio (em vez de WiFi) e usar o Modo de segurança com rede pode ajudar na correção.
  • Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
  • Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
  • Inicialize o host normalmente.

Etapas de solução alternativa para nuvem pública ou ambiente semelhante, incluindo virtual:

Opção 1:

• ​​​​​​​​Desanexe o volume do disco do sistema operacional do servidor virtual afetado
• Crie um instantâneo ou backup do volume do disco antes de prosseguir como precaução contra alterações não intencionais
• Anexar/montar o volume em um novo servidor virtual
• Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
• Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
• Desanexe o volume do novo servidor virtual
• Reconecte o volume fixo ao servidor virtual impactado

Opção 2:

• ​​​​​​​​Retorne para um instantâneo anterior a 0409 UTC.

Documentação específica da AWS:

• Para anexar um volume EBS a uma instância
• Desanexar um volume do Amazon EBS de uma instância
  • Observação: use uma versão de sistema operacional diferente para a máquina virtual usada como VM de recuperação para a máquina virtual que você está tentando recuperar.

Ambientes do Azure:

• Por favor, veja este artigo da Microsoft

Acesso do usuário à chave de recuperação no portal do Workspace ONE

Quando essa configuração estiver habilitada, os usuários poderão recuperar a Chave de Recuperação do BitLocker do portal do Workspace ONE sem a necessidade de entrar em contato com o HelpDesk para obter assistência. Para ativar a chave de recuperação no portal do Workspace ONE, siga as próximas etapas. Consulte este artigo da Omnissa para obter mais informações.

KBs relacionados à recuperação do Bitlocker:

• Recuperação do BitLocker no Microsoft Azure
• Recuperação do BitLocker em ambientes Microsoft usando SCCM
• Recuperação do BitLocker em ambientes Microsoft usando Active Directory e GPOs
• Recuperação do BitLocker em ambientes Microsoft usando Ivanti Endpoint Manager

Para mais informações acesse o site da https://www.crowdstrike.com/

Fonte: https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/