2024 年 7 月 19 日午後 9 時 13 分 (東部標準時間) に更新
CrowdStrike は、Windows ホストの 1 つのコンテンツ更新で発見された欠陥の影響を受ける顧客と積極的に協力しています。 Mac および Linux ホストは影響を受けません。 これはサイバー攻撃ではありませんでした。
問題が特定され、切り分けられ、解決策が導入されました。 最新のアップデートについてはサポート ポータルをお客様にご案内し、引き続き完全な公開アップデートをブログで継続的に提供していきます。
また、組織が公式チャネルを通じて CrowdStrike の担当者と確実に連絡を取ることをお勧めします。
私たちのチームは、CrowdStrike の顧客のセキュリティと安定性を確保するために十分な準備を整えています。
私たちは状況の深刻さを理解しており、ご迷惑と混乱を深くお詫び申し上げます。 当社は影響を受けるすべての顧客と協力して、システムが確実にバックアップされて稼働し、顧客が依存するサービスを提供できるように取り組んでいます。
当社は、CrowdStrike が正常に動作しており、この問題が当社の Falcon プラットフォーム システムに影響を与えないことをお客様に保証します。 システムが正常に動作している場合、Falcon センサーが取り付けられていても保護に影響はありません。
以下は、CrowdStrike からの最新の技術アラートであり、問題と組織が実行できる解決手順に関する詳細情報が記載されています。 今後もコミュニティと業界に最新情報が入手可能になったら提供していきます。
まとめ
詳細
- 症状には、ホストで Falcon センサーに関連するバグチェック/ブルー スクリーン エラーが発生することが含まれます。
- 影響を受けていない Windows ホストでは、問題のあるチャネル ファイルが復元されているため、何もする必要はありません。
- UTC 0527 以降にインターネットに接続する Windows ホストも影響を受けません。
- この問題は、Mac または Linux を実行しているホストには影響しません。
- タイムタグが 0527 UTC 以降のチャネル ファイル「C-00000291*.sys」は、返された (正常な) バージョンです。
- タイムタグが 0409 UTC のチャネル ファイル「C-00000291*.sys」が問題のあるバージョンです。
- 注: CrowdStrike ディレクトリに複数の「C-00000291*.sys」ファイルが存在するのは通常のことです。 1つ フォルダー内のファイルに 0527 UTC 以降のタイムタグが付いている場合、これがアクティブ コンテンツになります。
現在のアクション
- CrowdStrike Engineering は、この問題に関連するコンテンツの公開を特定し、それらの変更を元に戻すことができました。
- ホストが引き続きクラッシュし、オンラインを維持してチャネル ファイルの変更を受信できない場合は、以下の回避策手順を使用することができます。
- 私たちはお客様に次のことを保証します CrowdStrike は正常に実行されており、この問題は Falcon プラットフォーム システムには影響しません。システムが正常に動作している場合、Falcon センサーが取り付けられていても保護に影響はありません。 Falcon Complete および OverWatch サービスは、このインシデントによって中断されません。
高度なイベント検索により影響を受けるホストを特定するためのクエリ
このナレッジベース記事を参照してください: Windows クラッシュの影響を受ける可能性のあるホストを特定する方法 (PDF ファイル) または ログインしてサポート ポータルを表示します。
ダッシュボード
上で参照したクエリと同様に、影響を受けるチャネル、顧客 ID、影響を受けるセンサーを表示するダッシュボードが利用できるようになりました。 サブスクリプションに応じて、次のいずれかのコンソール メニューで利用できます。
- 次世代 SIEM > ダッシュボード または;
- 調査 > ダッシュボード
- この名前は、hosts_possibly_impacted_by_windows_crashes となります。
注: ダッシュボードはライブ ボタンでは使用できません。
自動回復の記事:
この記事を参照してください: GCP の Windows インスタンスのブルー スクリーンからの自動回復 (pdf) または ログインしてサポート ポータルを表示します。
個々のホストの回避策手順:
- ホスト マシンを再起動して、リターン チャネル ファイルをダウンロードする機会を与えます。 ホスト デバイスはイーサネット経由でより速くインターネット接続できるようになるため、再起動する前にホスト デバイスを (WiFi ではなく) 有線ネットワークに接続することを強くお勧めします。
- ホストが再びダウンした場合は、次のようになります。
- Windows をセーフ モードまたは Windows 回復環境で起動する
- 注: ホストを有線ネットワーク (WiFi ではなく) に配置し、ネットワークでセーフ モードを使用すると、問題の解決に役立つ場合があります。
- %WINDIR%\System32\drivers\CrowdStrike ディレクトリに移動します。
- Windows リカバリのデフォルトは X:\windows\system32 です
- まず適切なパーティション (デフォルトは C:\) に移動し、次にクラウドストライク ディレクトリに移動します。
- 答え:
- cd windows\system32\drivers\crowdstrike
- 注: WinRE/WinPE では、オペレーティング システム フォルダーの Windows\System32\drivers\CrowdStrike ディレクトリに移動します。
- 「C-00000291*.sys」に該当するファイルを選択して削除します。
- いいえ 他のファイルまたはフォルダーを削除または変更します
- ホストをコールドブートする
- ホストをシャットダウンします。
- ホストを停止状態から起動します。
注: BitLocker で暗号化されたホストには回復キーが必要な場合があります。
仮想化を含むパブリック クラウドまたは同様の環境を回避する手順:
オプション1:
- 影響を受ける仮想サーバーからオペレーティング システムのディスク ボリュームを切断します。
- 意図しない変更に対する予防措置として、続行する前にディスク ボリュームのスナップショットまたはバックアップを作成します。
- ボリュームを新しい仮想サーバーにリンク/マウントします
- %WINDIR%\System32\drivers\CrowdStrike ディレクトリに移動します。
- 「C-00000291*.sys」に該当するファイルを選択して削除します。
- 新しい仮想サーバーからボリュームを切り離す
- 永続ボリュームを影響を受ける仮想サーバーに再接続します。
オプション 2:
- 0409 UTC より前のスナップショットに戻ります。
AWS ドキュメント:
Azure環境:
Workspace ONE ポータルのユーザー アクセス回復キー
この設定を有効にすると、ユーザーはヘルプ センターに問い合わせることなく、Workspace ONE ポータルから BitLocker 回復キーを取得できます。 Workspace ONE ポータルで回復キーを有効にするには、次の手順に従います。 こちらをご覧ください オムニサの記事 詳細については。
Tanium 経由で Windows 暗号化を管理する
Citrix 経由の Bitlocker リカバリ
BitLocker 回復ナレッジ ベース:
追加のリソース:
「ゲーマー。ビールの伝道者になりたい。ポップカルチャーの実践者。旅行好き。ソーシャルメディアの支持者。」
More Stories
ウクライナによる長距離攻撃で戦争はロシアへ
ベイジアンヨット沈没最新作:乗組員が調査を受ける中、マイク・リンチの妻は「家族なしでは船から降りたくなかった」
世界食糧計画、支援車両への度重なる銃撃を受け、ガザでの活動を停止