CrowdStrike řešení působilo modrou smrt (Blue Screen of Death) v MS Windows
U EDR/XDR produktu společnosti CrowdStrike došlo 19. července k situaci, kdy agentní řešení způsobovalo na stanicích a serverech takzvanou modrou smrt (Blue Screen of Death) na Microsoft Windows platformě. Dotklo se to stanic a serverů bez rozdílu na nainstalované verzi agentů, a to celosvětově. Situaci jsme průběžně sledovali a aktualizovali informace.
Dne 19. července 2024 v 06:09 SELČ nasadila společnost CrowdStrike v rámci rutinních operací do systémů Windows aktualizaci konfigurace senzoru. Tato aktualizace vedla k logické chybě způsobující pády systému do modré obrazovky (BSOD) na postižených stanicích. U zákazníků používajících senzor Falcon pro systém Windows verze 7.11 a vyšší, kteří byli 19. července 2024 mezi 06:09 SELČ a 07:27 SELČ online, mohlo dojít na stanicích k výpadkům v důsledku selhání systému.
Další informace
Stanice, které v tomto období stáhla aktualizaci konfigurace, byla náchylná k pádu. Specifické konfigurační soubory, známé jako „Channel Files“ a jsou nedílnou součástí mechanismů ochrany senzoru Falcon, se staly spouštěčem incidentu. Tyto soubory jsou pravidelně aktualizovány tak, aby se přizpůsobily novým taktikám a postupům identifikovaným společností CrowdStrike. Ovlivněný soubor Channel File v tomto incidentu, označený jako 291, řídí vyhodnocování spuštění pojmenovaných rour (named pipes) v systémech Windows.
Potvrzené skutečnosti:
Problém se týkal pouze stanic s operačním systémem Windows a nainstalovaným agentem verze 7.11 platformy Crowdstrike FalconStanice, které nebyly online dne 19. července mezi 06:09 a 7:27 SELČ, se problém nedotknul
Mac nebo Linux stanice nebyly postiženy
Channel file "C-00000291*.sys" s časovou známkou 0527 nebo pozdější je již v pořádku
Channel file "C-00000291*.sys" s časovou známkou 0409 způsoboval výpadek
Technické podrobnosti:
V systémech Windows se „channel files“ nacházejí v následujícím adresáři:C:\Windows\System32\drivers\CrowdStrike\
a mají název souboru, který začíná „c-“. Každý soubor kanálu je označen jedinečným číslem. Ovlivněný soubor v této události je 291 a bude mít název souboru, který začíná “C-00000291-” a končí příponou „.sys“. Ačkoliv tyto soubory končí příponou SYS, nejsou to ovladače jádra.
„Channel file“ 291 řídí, jak Falcon vyhodnocuje exekuci „named pipes1“ v systémech Windows. „Name pipes“ se používají pro běžnou mezisprocesovou nebo mezisystémovou komunikaci v systému Windows. Aktualizace, která proběhla v 06:09 SELČ, byla navržena tak, aby cílila na nově pozorované, škodlivé „named pipes“, které se používají běžnými C2 kanály v kybernetických útocích. Aktualizace konfigurace vyvolala logickou chybu, která vedla k pádu operačního systému. Společnost CrowdStrike již opravila logickou chybu aktualizací obsahu v „channel file“ 291. Agent Falcon i nadále vyhodnocuje a chrání před zneužitím „named pipes“.
Postup identifikace a opravy:
Krok 1: Identifikace stanic na platformě FalconPomocí rozšířeného dotazu pro vyhledávání událostí.
Dotazy využívané ovládacími panely jsou uvedeny v dolní části příslušných článků KB ovládacího panelu.
Prostřednictvím panelu nástrojů
K dispozici je aktualizovaný granulární řídicí panel, který zobrazuje hostitele se systémem Windows ovlivněné závadou aktualizace obsahu popsanou v tomto technickém upozornění. Viz „Granular status dashboards to identify Windows hosts impacted by content issue (v8.6)“. Všechny dotazy využívané ovládacími panely jsou uvedeny v dolní části příslušných článků KB o ovládacích panelech.
Krok 2: Náprava
Pokud stanice stále padají a nejsou schopni zůstat online, aby mohli přijímat aktualizace z „Channel File“, lze použít níže uvedené kroky.
Náprava jednotlivých stanic:
Restartujte stanice, aby měli možnost stáhnout opravený soubor kanálu. Důrazně doporučujeme před restartem stanice připojit ke kabelové síti (nikoli WiFi), protože stanice získá připojení k internetu prostřednictvím ethernetu podstatně rychleji.
Pokud hostitel při restartu opět spadne:
Varianta 1 - ruční postup
Podrobný postup naleznete v tomto článku společnosti Microsoft.
Poznámka: Hostitelé se šifrováním Bitlocker mohou vyžadovat klíč pro obnovení.
Možnost 2 - Automatizovaně prostřednictvím zaváděcího klíče USB
Postupujte podle pokynů v tomto článku KB.
Poznámka: Hostitelé se šifrováním Bitlocker mohou vyžadovat klíč pro obnovení.
Další podrobnosti k nápravným opatřením najdete na support portále společnosti Crowdstrike.
Popis incidentu společnosti Crowdstrike najdete na jejich blogu.
Kontakt pro média
Michal Malysa
- +420 775708086
- michal.malysa@aricoma.com
- Aricoma logo pro stažení.