Фиксовете на CrowdStrike започват от „рестартиране до 15 пъти“, но след това нещата стават все по-сложни
Администраторите могат също по този начин да възстановят аварийните копия или ръчно да изтрият бъгавия драйвер на CrowdStrike. Само че това не е елементарно.
Съвсем неотдавна самолетните компании, компаниите за обработка на разплащанията, центровете за незабавни повиквания, телевизионните мрежи и други компании се разтревожиха доста крепко, откакто неверна актуализация на софтуера за сигурност Falcon на CrowdStrike докара до срив на основаните на Windows системи с ужасяващото известие за неточност „ наследник екран на гибелта “ (BSOD – blue screen of death).
С течение на времето се появяват нови детайлности за този срив. И Microsoft, и CrowdStrike настояват, че „ проблематичната актуализация е изтеглена “, тъй че това, което е най-важно за ИТ админите в кратковременен проект, е да възстановят системите си и те да стартират да работят още веднъж. Според напътствията на Microsoft решенията за корекция варират от досадни, само че лесни до необикновено трудоемки и комплицирани, според от броя на системите, които би трябвало да се поправят, и метода, по който са конфигурирани тези профилирани системите.
На страницата на Microsoft за положението на Azure са разказани няколко метода за премахване на проблеми. Първата и най-лесна е просто да се опитате да рестартирате засегнатите машини още веднъж и още веднъж, което дава на засегнатите машини многочислени шансове да се опитат да прихванат неповредената актуализация на CrowdStrike, преди неприятният драйвер да провокира BSOD. Microsoft твърди, че някои от клиентите й е трябвало да рестартират системите си до 15 пъти, с цел да отстраняват актуализацията.
Първите насоки за премахване на грешката в CrowdStrike са просто да се рестартират системите още веднъж и още веднъж, с цел да могат да се опитат да получат актуализация, която не е развалена. Ако рестартирането не помогне? Това е въпросът
Ако многократното рестартиране не в профил казуса ви, Microsoft предлага да възстановите системите си, като употребявате аварийно копие отпреди 4:09 UTC на 18-ти юли (малко след среднощ в петък, източно време), когато CrowdStrike стартира да популяризира бъгавата актуализация. Crowdstrike твърди, че възобновената версия на файла е била публикувана в 5:27 UTC.
Ако тези по-опростени дейности не оказват помощ, може да се наложи машините да се започват в безвреден режим, с цел да може ръчно да се изтрие файлът, който предизвиква BSOD грешките. За виртуалните машини Microsoft предлага виртуалният диск да се прикрепи към някоя добре позната работеща ремонтна виртуална машина, с цел да може файлът да бъде заличен, след което виртуалният диск да се прикрепи още веднъж към истинската виртуална машина.
Въпросният файл е драйвер на CrowdStrike, ситуиран на адрес Windows/System32/Drivers/CrowdStrike/C-00000291*.sys. След като той бъде отстранен, машината би трябвало да се зареди обикновено и да вземе неповредената версия на драйвера.
Само че нещата са доста по-сложни. Изтриването на този файл на всяка от засегнатите системи поотделно е задоволително трудоемко, само че е още по-трудно за клиентите, които употребяват криптирането на дисковете на Microsoft за отбрана на данните. Преди да може да се изтрие файлът в тези системи, ще ви е нужен ключът за възобновяване, който отключва тези криптирани дискове и ги прави четими (обикновено този развой е незабележим, тъй като системата може просто да прочете ключа, съхранен във физически или виртуален TPM модул).
Това може да докара до ужасни проблеми за админите, които не употребяват система за ръководство на ключовете, с цел да съхраняват своите ключове за възобновяване, защото (по план!) не можете да получите достъп до диска без неговия ключ за възобновяване. Ако не разполагате с този ключ, криптографът и инфраструктурен инженер Тони Арсиери от Mastodon съпоставя това със „ самопричинена рансъмуер офанзива “, при която нападателят криптира дисковете в системите ви и задържа ключа, до момента в който не получи възнаграждение.
Но даже и да имате ключа за възобновяване, вашият сървър за ръководство на ключовете също може да е обиден от грешката на CrowdStrike.
Ситуацията става все по-объркана, а ние ще следим информацията по този случай.
