CSIRT Toscana Problematiche relative ad aggiornamento CrowdStrike (BL01/240719/CSIRT-ITA) – Aggiornamento
Data:
19 Luglio 2024 16:15
Sintesi
Un recente aggiornamento di CrowdStrike Falcon Sensor ha causato gravi problematiche, su sistemi Windows, di tipo “Denial of Service”.
Tipologia
- Denial of Service
Descrizione
Sono state riscontrate problematiche con un aggiornamento di CrowdStrike Falcon Sensor rilasciato il 18 luglio 2024 che causa errori BSOD (Blue Screen Of Death) su sistemi Windows con conseguente interruzione della normale operatività. In particolare la problematica sarebbe causata da un file (C-00000291*.sys) il quale ha causato il blocco degli endpoint che hanno ricevuto l’aggiornamento.
Il vendor ha fornito maggiori dettagli in merito all’aggiornamento rilasciato, dichiarando che:
- la problematica non impatta sistemi Mac o Linux;
- gli host Windows che non sono stati impattati non richiedono alcuna azione in quanto il file problematico è stato ripristinato all’ultima versione funzionante.
Azioni di mitigazione
CrowdStrike Engineering ha provveduto a effettuare il downgrade del file che causa la problematica e reso disponibile al download la precedente versione dello stesso.
Per gli host in stato di blocco e/o non in grado di accedere alla versione precedente del file, è possibile seguire le seguenti procedure:
Per i singoli host:
-
Riavviare l’host per consentire il download della precedente versione del file. Ove l’host presenti nuovamente crash:
- avviare Windows in modalità provvisoria o in Ambiente di Ripristino Windows;
- andare nella cartella %WINDIR%\System32\drivers\CrowdStrike;
- individuare il file “C-00000291*.sys” ed eliminarlo;
- riavviare l’host normalmente.
Nota: gli host criptati da Bitlocker potrebbero necessitare di una chiave di ripristino.
Per ambienti cloud o simili (inclusi ambienti virtuali):
Opzione 1:
- scollegare il volume del disco del sistema operativo dal server virtuale impattato;
- creare uno snapshot o un backup del volume del disco in via precauzionale prima di proseguire;
- collegare/montare il volume ad un nuovo server virtuale;
- andare nella cartella %WINDIR%\\System32\drivers\CrowdStrike;
- individuare il file “C-00000291*.sys” ed eliminarlo;
- scollegare il volume dal nuovo server virtuale;
- ricollegare il volume al server impattato.
Opzione 2:
- Ripristinare da uno snapshot precedente alle ore 06:09 del 19 luglio 2024.
Per console seriale di Azure:
-
effettuare il login alla console di Azure;
- andare alle macchine virtuali > selezionare la VM;
- in alto a sinistra sulla console: cliccare su “Connetti” > cliccare su “Altri metodi di connessione” > cliccare su “Serial Console”;
- una volta che la console si è avviata, digitare “cmd” e premere invio > digitare “ch -si 1” e premere invio;
- premere un tasto qualsiasi. Inserire le credenziali di Amministratore;
- digitare:
- bcedit /set {current} safeboot minimal
- bcedit /set {current} safeboot network
- riavviare la VM;
- opzionale: eseguire il comando “wmic COMPUTERSYSTEM GET BootupState”.
Aggiornamento del 22/07/2024:
Microsoft ha recentemente pubblicato un tool per agevolare il personale IT nella risoluzione della problematica in oggetto.
Il tool fornisce 2 modalità di riparazione:
- “Recover from WinPE” (Raccomandata): permette di avviare il recupero del sistema senza necessità di privilegi di amministrazione (nei dispositivi cifrati con tecnologia BitLocker è necessario inserire la recovery key).
- “Recover from safe mode”: permette di effettuare il recupero di sistemi cifrati con BitLocker senza la necessità della recovery key. Questa soluzione è da utilizzarsi nei sistemi configurati come “TPM-only” o dove la recovery key BitLocker risulti indisponibile. Per questa opzione è necessario avere accesso ad un account utente con i privilegi di aministratore locale nel dispositivo impattato.
In base all’opzione scelta verrà creato un supporto d’avvio da eseguirsi nei dispositivi interessati.
Nota: Ove vengano utilizzati sistemi di cifratura di terze parti, è necessario rivolgersi ai rispettivi fornitori per assistenza sulle opzioni di recupero dei dispositivi.