CrowdStrike 阻斷服務狀況警報
風險: 高度風險
類型: 操作系統 - Network
2024 年 7 月 19 日,CrowdStrike Falcon Sensor 在 Windows 主機上造成當機。在 Azure、AWS 等雲端上執行的 Windows 主機也會受到影響。徵狀包括受影響的主機會出現 bugcheck \ 藍螢幕錯誤。
有報導指已有攻擊者利用此事件進行網路釣魚和其他惡意活動,包括:
- 向客戶發送冒充 CrowdStrike 支援的釣魚電子郵件
- 在電話中冒充 CrowdStrike 工作人員
- 冒充獨立研究人員,聲稱有證據表明該技術問題與網路攻擊有關,並提供補救見解
- 銷售聲稱可以自動從內容更新問題中恢復的腳本
HKCERT 建議用戶只透過官方管道與 CrowdStrike 代表進行溝通,並遵守 CrowdStrike 支援團隊提供的技術指導。
CrowdStrike Engineering 已找出與此問題相關的內容部署,並回復這些變更。
如果主機仍然當機且無法保持在線以接收頻道檔案變更,請採取解決方案部分的「臨時處理方法」。
注意:
已受影響的系統,暫無可修補的修補程式。
[更新於 2024-07-20]
更新描述、受影響之系統或技術、解決方案及相關連結。
[更新於 2024-07-21]
更新解決方案及相關連結。
[更新於 2024-07-23]
更新解決方案及相關連結。
影響
- 阻斷服務
受影響之系統或技術
於 2024 年 7 月 19 日(星期五) 04:09 UTC 至 05:27 UTC 期間上線或下載了更新配置的CrowdStrike Falcon Sensor for Windows 7.11 及更高的版本。
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
未受影響的 Windows 主機不需要採取任何行動,因為有問題的檔案已被還原。
個別主機的解決方案步驟:
- 重新啟動主機,讓主機有機會下載已還原的檔案。如果主機再次當機,則採用以下方法:
注意:Bitlocker 加密的主機可能需要復原金鑰。- 請參閱以下有關 遠端用戶的 CrowdStrike 主機自我修復的影片。請按照影片中包含的說明進行操作。
- 將 Windows 開機至安全模式或 Windows 復原環境
- 注意:將主機置於有線網路上(非 WiFi 上)並使用「安全模式與網路」可有助於修復。
- 導覽至 %WINDIR%\System32\drivers\CrowdStrike 目錄
- Windows Recovery預設路徑為 X:\windows\system32
- 首先導航到適當的分區(預設為C:\) 然後導航到crowdstrike目錄:
- C:
- cd windows\system32\drivers\crowdstrike
- 首先導航到適當的分區(預設為C:\) 然後導航到crowdstrike目錄:
- 注意:在 WinRE/WinPE 上,導覽至作業系統磁碟區的 Windows\System32\drivers\CrowdStrike 目錄
- Windows Recovery預設路徑為 X:\windows\system32
- 找到檔案 「C-00000291*.sys」,並將其刪除。
- 請勿刪除或更改任何其他文件或資料夾
- 正常啟動主機。
- 關閉主機
- 從off state啟動主機
- Microsoft 發布了 USB 工具來幫助 IT 管理員加快修復過程。已簽署的 Microsoft 復原工具可以在 Microsoft 下載中心找到。欲了解更多詳情,請瀏覽:
對於雲端平台上運行的虛擬機,請應用供應商發布的解決方法:
- Google Cloud Platform (GCP)
- https://www.crowdstrike.com/wp-content/uploads/2024/07/Automated-Recovery-from-Blue-Screen-on-Windows-Instances-in-GCP.pdf
- 請參閱 GCP CrowdStrike 檔案修復腳本 – 提供了一個 Python 腳本,客戶可用於修復駐留在 GCP 中的受影響主機。
- Microsoft Azure
- Amazon Web Services (AWS)
Notes: 有關 CrowdStrike 的最新資訊請參考 https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/
漏洞識別碼
- 暫無 CVE 可提供
資料來源
相關連結
- https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
- https://www.crowdstrike.com/blog/technical-details-on-todays-outage/
- https://www.crowdstrike.com/blog/our-statement-on-todays-outage/
- https://www.crowdstrike.com/blog/falcon-sensor-issue-use-to-target-crowdstrike-customers/
- https://azure.status.microsoft/en-gb/status
- https://health.aws.amazon.com/health/status
- https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959
- https://www.cisa.gov/news-events/alerts/2024/07/19/widespread-it-outage-due-crowdstrike-update
- https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
相關標籤
分享至