lunes, julio 22, 2024

Solución técnica para el bug de Crowdstrike para Microsoft Windows #Windows #Microsoft #Crowdstrike #bug #issue #update #release

 En el post de hoy quiero explicar la solución para aquellos pobres técnicos de IT, TI, técnicos de campo, ingenieros de sistemas, informáticos u otros responsables que han tenido que lidiar con el desaguisado del viernes 19/7/2024 con Microsoft Windows y Crowdstrike y del que hablábamos en el post Viernes de Julio con millones de PCs y servidores out con Microsoft Windows y antivirus Crowdstrike #Windows #Microsoft #Crowdstrike #bug #issue #update #release (en Emeshing.com)

https://www.crowdstrike.com/blog/ 



Crowdstrike blog:

Technical Details

  • Technical Details on the outage can be found here: Read the blog Published 2024-07-19 0100 UTC
  • We assure our customers that CrowdStrike is operating normally and this issue does not affect our Falcon platform systems. If your systems are operating normally, there is no impact to their protection if the Falcon Sensor is installed. Falcon Complete and OverWatch services are not disrupted by this incident.
  • CrowdStrike has identified the trigger for this issue as a Windows sensor related content deployment and we have reverted those changes. The content is a channel file located in the %WINDIR%\System32\drivers\CrowdStrike directory.
    • Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0527 UTC or later is the reverted (good) version.
    • Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0409 UTC is the problematic version.
    • Note: It is normal for multiple “C-00000291*.sys files to be present in the CrowdStrike directory – as long as one of the files in the folder has a timestamp of 05:27 UTC or later, that will be the active content.
  • Symptoms include hosts experiencing a bugcheck\blue screen error related to the Falcon Sensor.
  • Windows hosts which have not been impacted do not require any action as the problematic channel file has been reverted.

Non-Impacted Hosts

  • Windows hosts which are brought online after 2024-07-19 0527 UTC will not be impacted
  • Windows hosts installed and provisioned after 2024-07-19 0527 UTC are not impacted Updated 2024-07-21 1435 UTC
  • This issue is not impacting Mac- or Linux-based hosts



https://www.incibe.es/incibe/sala-de-prensa/caida-de-sistemas-de-operadores-de-sectores-criticos-y-estrategicos-por-un

Instrucciones de INCIBE:

Las medidas de mitigación y corrección que se están recomendando desde INCIBE son las siguientes:

  • La actualización de componentes de CrowdStrike que están provocando bucles de pantalla azul.
  • Se recomienda no ejecutar la actualización del agente CrowdStrike hasta que esté disponible una solución verificada.
  • El archivo de canal defectuoso se ha revertido y desde el fabricante se espera que esto mitigue una mayor expansión. Para los sistemas que ya fallan, algunos se reinician a un estado de funcionamiento normal y se considera que deberían elegir el nuevo archivo del componente que no da problemas frente al que da problemas. Algunos sistemas simplemente fallan en bucle y pueden necesitar una intervención manual.
  • Si los sistemas fallan y es por tanto necesaria una intervención manual se está recomendando seguir los siguientes pasos:
    • Se debe de iniciar Windows en modo seguro.
    • Se debe de acceder al directorio C:\Windows\System32\drivers\CrowdStrike en el Explorador. 
    • Hacer la búsqueda del archivo “C-00000291*.sys” y eliminarlo.
    • Iniciar el sistema normalmente.

No hay comentarios: