aricoma logo avatar

#1 v podnikovém IT

CrowdStrike řešení působilo modrou smrt (Blue Screen of Death) v MS Windows

U EDR/XDR produktu společnosti CrowdStrike došlo 19. července k situaci, kdy agentní řešení způsobovalo na stanicích a serverech takzvanou modrou smrt (Blue Screen of Death) na Microsoft Windows platformě. Dotklo se to stanic a serverů bez rozdílu na nainstalované verzi agentů, a to celosvětově. Situaci jsme průběžně sledovali a aktualizovali informace.

Dne 19. července 2024 v 06:09 SELČ nasadila společnost CrowdStrike v rámci rutinních operací do systémů Windows aktualizaci konfigurace senzoru. Tato aktualizace vedla k logické chybě způsobující pády systému do modré obrazovky (BSOD) na postižených stanicích. U zákazníků používajících senzor Falcon pro systém Windows verze 7.11 a vyšší, kteří byli 19. července 2024 mezi 06:09 SELČ a 07:27 SELČ online, mohlo dojít na stanicích k výpadkům v důsledku selhání systému.

Další informace

Stanice, které v tomto období stáhla aktualizaci konfigurace, byla náchylná k pádu. Specifické konfigurační soubory, známé jako „Channel Files“ a jsou nedílnou součástí mechanismů ochrany senzoru Falcon, se staly spouštěčem incidentu. Tyto soubory jsou pravidelně aktualizovány tak, aby se přizpůsobily novým taktikám a postupům identifikovaným společností CrowdStrike. Ovlivněný soubor Channel File v tomto incidentu, označený jako 291, řídí vyhodnocování spuštění pojmenovaných rour (named pipes) v systémech Windows.


Potvrzené skutečnosti:

Problém se týkal pouze stanic s operačním systémem Windows a nainstalovaným agentem verze 7.11 platformy Crowdstrike Falcon
Stanice, které nebyly online dne 19. července mezi 06:09 a 7:27 SELČ, se problém nedotknul
Mac nebo Linux stanice nebyly postiženy
Channel file "C-00000291*.sys" s časovou známkou 0527 nebo pozdější je již v pořádku
Channel file "C-00000291*.sys" s časovou známkou 0409 způsoboval výpadek

Technické podrobnosti:

V systémech Windows se „channel files“ nacházejí v následujícím adresáři:

C:\Windows\System32\drivers\CrowdStrike\

a mají název souboru, který začíná „c-“. Každý soubor kanálu je označen jedinečným číslem. Ovlivněný soubor v této události je 291 a bude mít název souboru, který začíná “C-00000291-” a končí příponou „.sys“. Ačkoliv tyto soubory končí příponou SYS, nejsou to ovladače jádra.
„Channel file“ 291 řídí, jak Falcon vyhodnocuje exekuci „named pipes1“ v systémech Windows. „Name pipes“ se používají pro běžnou mezisprocesovou nebo mezisystémovou komunikaci v systému Windows. Aktualizace, která proběhla v 06:09 SELČ, byla navržena tak, aby cílila na nově pozorované, škodlivé „named pipes“, které se používají běžnými C2 kanály v kybernetických útocích. Aktualizace konfigurace vyvolala logickou chybu, která vedla k pádu operačního systému. Společnost CrowdStrike již opravila logickou chybu aktualizací obsahu v „channel file“ 291. Agent Falcon i nadále vyhodnocuje a chrání před zneužitím „named pipes“.
 

Postup identifikace a opravy:

Krok 1: Identifikace stanic na platformě Falcon
Pomocí rozšířeného dotazu pro vyhledávání událostí.
Dotazy využívané ovládacími panely jsou uvedeny v dolní části příslušných článků KB ovládacího panelu.

Prostřednictvím panelu nástrojů
K dispozici je aktualizovaný granulární řídicí panel, který zobrazuje hostitele se systémem Windows ovlivněné závadou aktualizace obsahu popsanou v tomto technickém upozornění.  Viz „Granular status dashboards to identify Windows hosts impacted by content issue (v8.6)“.  Všechny dotazy využívané ovládacími panely jsou uvedeny v dolní části příslušných článků KB o ovládacích panelech.

Krok 2: Náprava
Pokud stanice stále padají a nejsou schopni zůstat online, aby mohli přijímat aktualizace z „Channel File“, lze použít níže uvedené kroky.

Náprava jednotlivých stanic:
Restartujte stanice, aby měli možnost stáhnout opravený soubor kanálu.  Důrazně doporučujeme před restartem stanice připojit ke kabelové síti (nikoli WiFi), protože stanice získá připojení k internetu prostřednictvím ethernetu podstatně rychleji.
Pokud hostitel při restartu opět spadne:

Varianta 1 - ruční postup
Podrobný postup naleznete v tomto článku společnosti Microsoft.
Poznámka: Hostitelé se šifrováním Bitlocker mohou vyžadovat klíč pro obnovení.

Možnost 2 - Automatizovaně prostřednictvím zaváděcího klíče USB
Postupujte podle pokynů v tomto článku KB.
Poznámka: Hostitelé se šifrováním Bitlocker mohou vyžadovat klíč pro obnovení.

Další podrobnosti k nápravným opatřením najdete na support portále společnosti Crowdstrike.

Popis incidentu společnosti Crowdstrike najdete na jejich blogu.

Sdílejte

Kontakt pro média

Michal Malysa

Head of Brand and Communications