Home » International » Déclaration sur la mise à jour du contenu Falcon pour les hôtes Windows

Déclaration sur la mise à jour du contenu Falcon pour les hôtes Windows

by Nouvelles

Mise à jour à 13h25 HE, le 19 juillet 2024

CrowdStrike travaille activement avec les clients concernés par un défaut détecté dans une mise à jour de contenu unique pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas concernés. Il ne s’agit pas d’une cyberattaque.

Le problème a été identifié, isolé et un correctif a été déployé. Nous orientons les clients vers le portail d’assistance pour obtenir les dernières mises à jour et continuerons à fournir des mises à jour publiques complètes et continues sur notre blog.

Nous recommandons également aux organisations de s’assurer qu’elles communiquent avec les représentants de CrowdStrike via les canaux officiels.

Notre équipe est entièrement mobilisée pour assurer la sécurité et la stabilité des clients CrowdStrike.

Nous comprenons la gravité de la situation et sommes profondément désolés pour les désagréments et les perturbations causés. Nous travaillons avec tous les clients concernés pour garantir que les systèmes sont de nouveau opérationnels et qu’ils peuvent fournir les services sur lesquels leurs clients comptent.

Nous assurons à nos clients que CrowdStrike fonctionne normalement et que ce problème n’affecte pas nos systèmes de plateforme Falcon. Si vos systèmes fonctionnent normalement, leur protection n’est pas affectée si le capteur Falcon est installé.

Vous trouverez ci-dessous la dernière alerte technique CrowdStrike avec plus d’informations sur le problème et les solutions de contournement que les organisations peuvent adopter. Nous continuerons de fournir des mises à jour à notre communauté et au secteur dès qu’elles seront disponibles.

Résumé

  • CrowdStrike a connaissance de rapports de plantages sur les hôtes Windows liés au capteur Falcon.

Détails

  • Les symptômes incluent des hôtes rencontrant une erreur de bugcheck/écran bleu liée au capteur Falcon.
  • Les hôtes Windows qui n’ont pas été impactés ne nécessitent aucune action car le fichier de canal problématique a été rétabli.
  • Les hôtes Windows mis en ligne après 05h27 UTC ne seront pas non plus affectés
  • Ce problème n’affecte pas les hôtes basés sur Mac ou Linux
  • Le fichier de canal « C-00000291*.sys » avec un horodatage de 0527 UTC ou plus est la version rétablie (bonne).
  • Le fichier de canal « C-00000291*.sys » avec l’horodatage 0409 UTC est la version problématique.
    • Remarque : il est normal que plusieurs fichiers « C-00000291*.sys » soient présents dans le répertoire CrowdStrike. Tant que l’un des fichiers du dossier possède un horodatage de 0527 UTC ou ultérieur, ce sera le contenu actif.

Action en cours

  • CrowdStrike Engineering a identifié un déploiement de contenu lié à ce problème et a annulé ces modifications.
  • Si les hôtes continuent de planter et ne parviennent pas à rester en ligne pour recevoir les modifications du fichier de chaîne, les étapes de contournement ci-dessous peuvent être utilisées.
  • Nous assurons à nos clients que CrowdStrike fonctionne normalement et ce problème n’affecte pas nos systèmes de plateforme Falcon. Si vos systèmes fonctionnent normalement, leur protection n’est pas impactée si le Falcon Sensor est installé. Les services Falcon Complete et Overwatch ne sont pas perturbés par cet incident.

Requête pour identifier les hôtes impactés via la recherche d’événements avancée

Étapes de contournement pour les hôtes individuels :

  • Redémarrez l’hôte pour lui donner la possibilité de télécharger le fichier de canal rétabli. Nous vous recommandons fortement de mettre l’hôte sur un réseau câblé (par opposition au Wi-Fi) avant de redémarrer, car l’hôte acquerra une connectivité Internet beaucoup plus rapidement via Ethernet.
  • Si l’hôte plante à nouveau, alors :
    • Démarrez Windows en mode sans échec ou dans l’environnement de récupération Windows
      • REMARQUE : placer l’hôte sur un réseau filaire (par opposition au Wi-Fi) et utiliser le mode sans échec avec mise en réseau peut aider à résoudre le problème.
    • Accédez au répertoire %WINDIR%System32driversCrowdStrike
      • Remarque : sous WinRE/WinPE, accédez au répertoire WindowsSystem32driversCrowdStrike du volume du système d’exploitation
    • Recherchez le fichier correspondant à « C-00000291*.sys » et supprimez-le.
    • Démarrez l’hôte normalement.
    • Remarque : les hôtes chiffrés par Bitlocker peuvent nécessiter une clé de récupération.

Étapes de contournement pour le cloud public ou un environnement similaire, y compris virtuel :

Option 1:

  • ​​​​​​​Détacher le volume de disque du système d’exploitation du serveur virtuel concerné
  • Créez un instantané ou une sauvegarde du volume du disque avant de continuer, par mesure de précaution contre les modifications involontaires.
  • Attacher/monter le volume sur un nouveau serveur virtuel
  • Accédez au répertoire %WINDIR%System32driversCrowdStrike
  • Recherchez le fichier correspondant à « C-00000291*.sys » et supprimez-le.
  • Détacher le volume du nouveau serveur virtuel
  • Rattacher le volume fixe au serveur virtuel impacté

Option 2:

  • ​​​​​​​Revenir à un instantané antérieur à 04h09 UTC.

Documentation spécifique à AWS :

Environnements Azure :

Accès utilisateur à la clé de récupération dans le portail Workspace ONE

Bases de connaissances liées à la récupération de Bitlocker :

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.