
FALLO EN ACTUALIZACIÓN DE CROWDSTRIKE AFECTÓ A DISPOSITIVOS WINDOWS
DESCRIPCIÓN
CrowdStrike presentó un fallo relacionado a una actualización de su sensor Falcon para
dispositivos Windows. Los dispositivos MAC y Linux no se vieron afectados. Asimismo, la compañía ha descartado que se trate de un incidente de ciberseguridad o ciberataque. Detallan que el problema ya ha sido aislado y se ha proporcionado una solución. La actualización con fallo corresponde a un archivo «C-00000291*.sys» y no a la última versión del instalador. El horario de la versión problemática del archivo .sys corresponde 04:09 UTC. Todos los archivos con la misma nomenclatura «.sys» generados posterior a las 05:27 UTC, fueron archivos notificados por Crowdstrike como estable.
DETALLES Y AFECTACIÓN
- Los síntomas incluyen hosts que experimentan un error de verificación de errores o pantalla azul relacionado con el sensor Falcon.
- Los hosts de Windows que no se han visto afectados no requieren ninguna acción ya que el archivo de canal problemático se ha revertido.
- Los hosts de Windows que se conecten en línea después de las 05:27 UTC tampoco se verán afectados.
- Los hosts que ejecutan Windows 7/2008 R2 no se ven afectados.
- Este problema no afecta a los hosts basados en MAC o Linux.
- El archivo de canal «C-00000291*.sys» con marca de tiempo de 05:27 UTC o posterior es la versión revertida (buena).
- El archivo de canal «C-00000291*.sys» con marca de tiempo de 04:09 UTC es la versión problemática.»
SOLUCIÓN
Para host individuales:
- Reinicie el host para darle la oportunidad de descargar el archivo de canal revertido. Si el host vuelve a fallar, haga lo siguiente:
a. Arranque Windows en modo seguro o en el entorno de recuperación de Windows
NOTA: Colocar el host en una red cableada (en lugar de WiFi) y usar el Modo seguro con funciones de red puede ayudar con la solución.
b. Diríjase al directorio %WINDIR%\System32\drivers\CrowdStrike
c. Localice el archivo que coincida con “C-00000291*.sys” y elimínelo.
d. Arranque el host normalmente
Nota: Los hosts cifrados con Bitlocker pueden requerir una clave de recuperación.
Para nube pública o entornos virtuales similares
Opción 1:
- Separe el volumen del disco del sistema operativo del servidor virtual afectado
- Cree una instantánea o una copia de seguridad del volumen del disco antes de continuar como medida de precaución contra cambios no deseados.
- Adjuntar/montar el volumen a un nuevo servidor virtual
- Diríjase al directorio %WINDIR%\System32\drivers\CrowdStrike
- Localice el archivo que coincida con “C-00000291*.sys” y elimínelo.
- Desconecte el volumen del nuevo servidor virtual
- Vuelva a conectar el volumen fijo al servidor virtual afectado
Opción 2:
- Regrese a una instantánea anterior a las 04:09 UTC.
Para solucionar el fallo en instancias AWS, AZURE o dispositivos con Bitlocker, seguir las instrucciones oficiales de la fuente 1.
REFERENCIAS
Fuente 1: https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/
Fuente 2: https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/
Fuente 3: https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617
Fuente 4: https://x.com/azuresupport/status/1814226224937402684?s=46&t=8IOiGBUVriKwyowG3gReJA