Ayer, CrowdStrike experimentó importantes interrupciones debido a una actualización defectuosa de su sensor Falcon, que causó errores Blue Screen of Death (BSOD) en PCs y servidores con Windows. Este incidente coincidió con una gran interrupción de Microsoft Azure, lo que agravó el impacto a nivel mundial. Varios sectores, incluidos aerolíneas y bancos, están enfrentando grandes desafíos operativos. El CEO de CrowdStrike, George Kurtz, confirmó que no hubo una violación de seguridad y enfatizó el compromiso de la empresa para ayudar a todos los clientes afectados a recuperarse completamente.
Aquí compartimos la última alerta técnica de CrowdStrike con más información sobre el problema y pasos de solución (remediación) que las organizaciones pueden tomar.
Resumen
CrowdStrike está al tanto de informes de fallas en hosts de Windows relacionadas con el Falcon Sensor.
Detalles
• Los síntomas incluyen errores de pantalla azul (BSOD) relacionados con el Falcon Sensor.
• Los hosts de Windows que no han sido afectados no requieren acción, ya que el archivo problemático ha sido revertido.
• Los hosts en línea después de las 05:27 UTC no se verán afectados.
• Los hosts con Windows 7/2008 R2 no se ven afectados.
• Los hosts basados en Mac o Linux no se ven afectados.
Acciones Actuales
• CrowdStrike ha identificado y revertido los cambios relacionados con este problema.
• Si los hosts siguen fallando, los pasos de solución a continuación pueden ser utilizados.
Pasos de Solución para Hosts Individuales
1. Reiniciar el host para permitir la descarga del archivo revertido.
2. Si el host vuelve a fallar:
• Iniciar Windows en Modo Seguro o en el Entorno de Recuperación.
• Conectarse a una red cableada (en lugar de WiFi) puede ayudar.
• Navegar al directorio %WINDIR%\System32\drivers\CrowdStrike.
• Localizar y eliminar el archivo “C-00000291*.sys”.
• Reiniciar el host normalmente.
Pasos de Solución para Entornos en la Nube
Opción 1
1. Desmontar el volumen del disco del servidor virtual afectado.
2. Crear una instantánea o copia de seguridad del volumen.
3. Montar el volumen en un nuevo servidor virtual.
4. Navegar al directorio %WINDIR%\System32\drivers\CrowdStrike.
5. Eliminar el archivo “C-00000291*.sys”.
6. Desmontar el volumen y volver a montarlo en el servidor virtual afectado.
Opción 2
Roll back a un snapshot anterior a 0409 UTC.
Más información en este link
Cyberseg Solutions Mexico © 2024
