Un aggiornamento difettoso del software di sicurezza CrowdStrike sta bloccando i PC aziendali di tutto il mondo. La soluzione.
Aggiornamento 20 luglio 2024 - Mentre milioni di PC e server spinti da Windows sono ancora bloccati causa bug diffuso da un aggiornamento del software di sicurezza di CrowdStrike, la stessa azienda fa un riepilogo della situazione, indicando soluzioni diversificate e specifiche per la varie configurazioni (fra cui quelle che vi abbiamo illustrato ieri che trovate nella stesura originaria di questo articolo, a seguire). Eccolo:
CrowdStrike è a conoscenza di segnalazioni di arresti anomali sugli host Windows correlati al Falcon Sensor.
Dettagli
I sintomi includono l'errore bugcheck\blue screen relativo al sensore Falcon.
Gli host Windows che non sono stati interessati non necessitano di alcuna azione poiché il file del canale problematico è stato ripristinato.
Anche gli host Windows che vengono attivati dopo le 05:27 UTC non saranno interessati
Gli host che eseguono Windows 7/2008 R2 non sono interessati
Questo problema non ha alcun impatto sugli host basati su Mac o Linux
Il file del canale "C-00000291*.sys" con timestamp 0527 UTC o successivo è la versione ripristinata (corretta).
Il file del canale "C-00000291*.sys" con timestamp 0409 UTC è la versione problematica.
Azione attuale
CrowdStrike Engineering ha identificato un'implementazione di contenuti correlata a questo problema e ha annullato le modifiche.
Se gli host continuano a bloccarsi e non riescono a rimanere online per ricevere le modifiche al file del canale, è possibile utilizzare i seguenti passaggi per risolvere il problema:
Passaggi per la soluzione alternativa per singoli host:
Riavvia l'host per dargli l'opportunità di scaricare il file del canale ripristinato. Se l'host si blocca di nuovo, allora:
Nota: gli host crittografati con Bitlocker potrebbero richiedere una chiave di ripristino.
Avviare Windows in modalità provvisoria o in Ambiente di ripristino di Windows
NOTA: collegare l'host a una rete cablata (anziché Wi-Fi) e utilizzare la modalità provvisoria con rete può aiutare a risolvere il problema.
Passare alla directory %WINDIR%\System32\drivers\CrowdStrike
Individuare il file corrispondente a “C-00000291*.sys” ed eliminarlo.
Avviare l'host normalmente.
Passaggi per la soluzione alternativa per il cloud pubblico o un ambiente simile, incluso quello virtuale:
Opzione 1:
Scollegare il volume del disco del sistema operativo dal server virtuale interessato
Creare uno snapshot o un backup del volume del disco prima di procedere ulteriormente come precauzione contro modifiche indesiderate
Collega/monta il volume su un nuovo server virtuale
Passare alla directory %WINDIR%\System32\drivers\CrowdStrike
Individuare il file corrispondente a “C-00000291*.sys” ed eliminarlo.
Scollegare il volume dal nuovo server virtuale
Ricollegare il volume fisso al server virtuale interessato
Opzione 2:
Ripristina uno snapshot prima delle 04:09 UTC.
Documentazione specifica di AWS:
Ambienti Azure:
Si prega di consultare questo articolo Microsoft
KB relativi al ripristino di Bitlocker:
Articolo originale - 19 luglio 2024 - Un numero impressionante di PC e server spinti da Sistema operativo Windows a livello mondiale dalle prime ore di oggi, 19 luglio 2024, non è utilizzabile, con la comparsa di schermo blu all'accensione (Blue Screen of Death - BSOD). Non si tratta di un attacco o di una falla del Sistema ma di un aggiornamento difettoso rilasciato da CrowdStrike per il suo software di cybersicurezza.
Coinvolti anche i servizi cloud di Microsoft, che stanno pian piano tornando alla normalità . I problemi più importanti sono per compagnie aeree, trasporti, banche, ospedali e aziende private di qualsiasi dimensione. Non è possibile agire da remoto per mitigare la situazione, quindi uffici e sedi aziendali risultano ferme e inoperose da diverse ore.
Una soluzione temporanea è stata offerta in questi ultimi minuti dalla stessa CrowdStrike. Eccola:
Come risolvere Schermo blu e PC non avviabile oggi 19 luglio
- Avviate il dispositivo in modalità provvisoria, quindi navigate nella seguente directory:
C:\Windows\System32\drivers\Crowdstrike - Eliminate il file C-00000291*.sys
- Riavviate il PC in modalità normale.
Alternativamente,
in modalità provvisoria di Windows, aprite il Prompt dei comandi e digitate quanto segue dando Invio per eliminare il file:
del "C:\Windows\System32\drivers\Crowdstrike\C-00000291*.sys"
Oppure,
rinominate il file Crowdstrike in Crowdstrike.bandaid
La società di sicurezza ha comunicato di aver ritirato dai server l'aggiornamento difettoso, dunque non c'è il rischio di una nuova installazione dopo aver applicato la soluzione.
Continueremo ad aggiornarvi su questa situazione.
Articolo di HTNovo
