Centre de correction et d’orientation pour la mise à jour du contenu de Falcon

Dernière mise à jour de la page le 23/07/2024 à 07h40 UTC

CrowdStrike aide activement les clients affectés par un défaut dans une récente mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux n’ont pas été affectés. Le problème a été identifié et isolé, et un correctif a été déployé. Il ne s’agissait pas d’une cyberattaque.

Nous assurons à nos clients que CrowdStrike fonctionne normalement et que ce problème n’affecte pas nos systèmes de plateforme Falcon. Si vos systèmes fonctionnent normalement, leur protection n’est pas affectée si le capteur Falcon est installé.

Nous comprenons la gravité de cette situation et sommes profondément désolés pour la gêne occasionnée. Notre équipe est pleinement mobilisée pour assurer la sécurité et la stabilité des clients de CrowdStrike.

Déclaration de notre PDG

Envoyé le 19/07/2024 à 19h30 UTC

Chers clients et partenaires,

Je tiens à m’excuser sincèrement auprès de vous tous pour cette panne. L’ensemble de CrowdStrike comprend la gravité et l’impact de la situation. Nous avons rapidement identifié le problème et déployé un correctif, ce qui nous a permis de nous concentrer avec diligence sur la restauration des systèmes des clients, notre priorité absolue.

La panne a été causée par un défaut détecté dans une mise à jour de contenu Falcon pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas concernés. Il ne s’agissait pas d’une cyberattaque.

Nous travaillons en étroite collaboration avec les clients et partenaires concernés pour garantir que tous les systèmes sont restaurés, afin que vous puissiez fournir les services sur lesquels vos clients comptent.

CrowdStrike fonctionne normalement et ce problème n’affecte pas nos systèmes de plateforme Falcon. L’installation du capteur Falcon n’a aucun impact sur la protection. Les services Falcon Complete et Falcon OverWatch ne sont pas perturbés.

Nous fournirons des mises à jour continues via notre portail d’assistance à l’adresse https://supportportal.crowdstrike.com/s/login/.

Nous avons mobilisé l’ensemble de CrowdStrike pour vous aider, vous et vos équipes. Si vous avez des questions ou si vous avez besoin d’une assistance supplémentaire, veuillez contacter votre représentant CrowdStrike ou le support technique.

Nous savons que des adversaires et des acteurs malveillants tenteront d’exploiter des événements comme celui-ci. J’encourage tout le monde à rester vigilant et à s’assurer de communiquer avec les représentants officiels de CrowdStrike. Notre blog et notre support technique continueront d’être les canaux officiels pour les dernières mises à jour.

Rien n’est plus important pour moi que la confiance que nos clients et partenaires accordent à CrowdStrike. Alors que nous résolvons cet incident, je m’engage à vous fournir une transparence totale sur la façon dont cela s’est produit et sur les mesures que nous prenons pour éviter qu’une telle situation ne se reproduise.

Georges Kurtz

Fondateur et PDG de CrowdStrike

Détails techniques

• Les détails techniques sur la panne peuvent être trouvés ici : Lire le blog Publié le 20/07/2024 à 01h00 UTC
• Nous assurons à nos clients que CrowdStrike fonctionne normalement et ce problème n’affecte pas nos systèmes de plateforme Falcon. Si vos systèmes fonctionnent normalement, leur protection n’est pas impactée si le Falcon Sensor est installé. Les services Falcon Complete et OverWatch ne sont pas perturbés par cet incident.
• CrowdStrike a identifié le déclencheur de ce problème comme étant un déploiement de contenu lié à un capteur Windows et nous avons annulé ces modifications. Le contenu est un fichier de canal situé dans le répertoire %WINDIR%System32driversCrowdStrike.
• Le fichier de canal « C-00000291*.sys » avec l’horodatage 2024-07-19 0527 UTC ou ultérieur est la version rétablie (bonne).
• Le fichier de canal « C-00000291*.sys » avec l’horodatage 2024-07-19 0409 UTC est la version problématique.
• Remarque : il est normal que plusieurs fichiers « C-00000291*.sys » soient présents dans le répertoire CrowdStrike, à condition que un des fichiers du dossier ont un horodatage de 05:27 UTC ou plus tard, ce sera le contenu actif.
• Les symptômes incluent des hôtes rencontrant une erreur de bugcheck/écran bleu liée au capteur Falcon.
• Hôtes Windows qui ont pas ont été impactés, aucune action n’est requise car le fichier de canal problématique a été rétabli.

Hôtes non impactés

• Les hôtes Windows mis en ligne après le 19/07/2024 à 05h27 UTC ne seront pas affectés
• Les hôtes Windows installés et provisionnés après le 19/07/2024 à 05h27 UTC ne sont pas concernés Mise à jour le 21/07/2024 à 14h35 UTC
• Ce problème n’affecte pas les hôtes basés sur Mac ou Linux

Comment identifier les hôtes concernés ?

Comment identifier les hôtes concernés via une requête de recherche d’événement avancée ?
Mise à jour le 22/07/2024 à 01h39 UTC

Les requêtes utilisées par les tableaux de bord sont répertoriées au bas des manuels de tableau de bord appropriés.

Comment identifier les hôtes concernés via le tableau de bord ?
Mise à jour le 23/07/2024 à 02h17 UTC

Un tableau de bord détaillé mis à jour est disponible et affiche les hôtes Windows affectés par le défaut de mise à jour de contenu décrit dans cette alerte technique. Consultez les tableaux de bord d’état détaillés pour identifier les hôtes Windows affectés par le problème de contenu (v8.6) (pdf) ou connectez-vous pour voir dans le portail d’assistanceNotez que les requêtes utilisées par les tableaux de bord sont répertoriées au bas des manuels de tableau de bord appropriés.

Si les hôtes continuent de planter et ne parviennent pas à rester en ligne pour recevoir la mise à jour du fichier de chaîne, les étapes de correction ci-dessous peuvent être utilisées.

Comment puis-je corriger des hôtes individuels ?
Mise à jour le 21/07/2024 à 09h32 UTC

• Redémarrez l’hôte pour lui donner la possibilité de télécharger le fichier de canal rétabli. Nous vous recommandons fortement de mettre l’hôte sur un réseau câblé (par opposition au Wi-Fi) avant de redémarrer, car l’hôte acquerra une connectivité Internet beaucoup plus rapidement via Ethernet.
• Si l’hôte plante à nouveau au redémarrage :
Mise à jour le 22/07/2024 à 17h58 UTC
• Option 1 – Créer des ISO de récupération automatisées avec des pilotes
• Suivez les instructions pour créer des ISO de récupération d’hôte Windows Falcon dans ce manuel (PDF) ou connectez-vous pour voir dans le portail d’assistance. Mise à jour le 23/07/2024 à 07h40 UTC
• Remarque : les hôtes chiffrés par Bitlocker peuvent nécessiter une clé de récupération.
• Option 2 – Processus manuel
• Consultez la vidéo suivante sur Auto-correction de l’hôte CrowdStrike pour les utilisateurs distantsSuivez les instructions contenues dans la vidéo si le service informatique de votre organisation vous le demande. Mise à jour le 22/07/2024 à 15h10 UTC
• Sinon, veuillez consulter ceci Article de Microsoft pour les étapes détaillées.
• Remarque : les hôtes chiffrés par Bitlocker peuvent nécessiter une clé de récupération.

Comment récupérer les clés Bitlocker ?
Mise à jour le 21/07/2024 à 18h10 UTC

Comment récupérer les ressources d’un environnement basé sur le cloud

Informations sur les fournisseurs tiers
Mise à jour le 20/07/2024 à 22 h 59 UTC

Cette vidéo décrit les étapes nécessaires pour résoudre automatiquement les problèmes sur les ordinateurs portables Windows distants concernés. Suivez ces instructions si le service informatique de votre organisation vous le demande.

Regardez la vidéo maintenant

Ressources additionnelles