Rregullimet e CrowdStrike fillojnë me rindezjen deri në 15 herë dhe bëhen më komplekse prej andej
Linjat ajrore, përpunuesit e pagesave, qendrat e thirrjeve 911, rrjetet televizive dhe biznese të tjera janë duke u përplasur këtë mëngjes pasi një përditësim i gabuar i softuerit të sigurisë Falcon të CrowdStrike shkaktoi rrëzimin e sistemeve të bazuara në Windows me një mesazh gabimi të frikshëm të ekranit blu të vdekjes (BSOD).
Ne po përditësojmë historinë tonë për ndërprerjen me detaje të reja pasi i kemi. Microsoft dhe CrowdStrike të dy thonë se “përditësimi i prekur është tërhequr”, kështu që ajo që është më e rëndësishme për administratorët e IT-së në një afat të shkurtër është rikthimi dhe funksionimi i sistemeve të tyre. Sipas udhëzimeve nga Microsoft, rregullimet variojnë nga të bezdisshme, por të lehta deri në tepër kohë dhe komplekse, në varësi të numrit të sistemeve që duhet të rregulloni dhe mënyrës se si janë konfiguruar sistemet tuaja.
Faqja e statusit të Microsoft Azure përshkruan disa rregullime. E para dhe më e lehta është thjesht të provoni të rindizni makinat e prekura vazhdimisht, gjë që u jep makinave të prekura shanse të shumta për të provuar të kapin përditësimin pa ndërprerje të CrowdStrike përpara se drejtuesi i keq të shkaktojë BSOD. Microsoft thotë se disa prej klientëve të tij u është dashur të rinisin sistemet e tyre deri në 15 herë për të hequr përditësimin.
Nëse rindezja e shumëfishtë nuk po e zgjidh problemin tuaj, Microsoft rekomandon rikthimin e sistemeve tuaja duke përdorur një kopje rezervë para orës 4:09 UTC më 18 korrik (vetëm pas mesnatës së të premtes, me orën lindore), kur CrowdStrike filloi të nxirrte përditësimin me buggy. Crowdstrike thotë se një version i rikthyer i skedarit u vendos në orën 5:27 UTC.
Nëse këto rregullime më të thjeshta nuk funksionojnë, mund t’ju duhet të nisni pajisjet tuaja në modalitetin e sigurt, në mënyrë që të mund të fshini manualisht skedarin që shkakton gabimet BSOD. Për makineritë virtuale, Microsoft rekomandon bashkëngjitjen e diskut virtual me një VM riparimi të njohur që funksionon, në mënyrë që skedari të mund të fshihet, dhe më pas të rilidhni diskun virtual me VM-në e tij origjinale.
Skedari në fjalë është një drejtues i CrowdStrike i vendosur në. Pasi të jetë zhdukur, makina duhet të nisë normalisht dhe të rrëmbejë një version jo të prishur të drejtuesit.Windows/System32/Drivers/CrowdStrike/C-00000291*.sys
Fshirja e atij skedari në secilin prej sistemeve tuaja të prekura individualisht kërkon mjaft kohë, por kërkon edhe më shumë kohë për klientët që përdorin enkriptimin e diskut BitLocker të Microsoft për të mbrojtur të dhënat në pushim. Përpara se të fshini skedarin në ato sisteme, do t’ju duhet çelësi i rikuperimit që i zhbllokon ato disqe të koduar dhe i bën ata të lexueshëm (normalisht, ky proces është i padukshëm, sepse sistemi thjesht mund të lexojë çelësin e ruajtur në një modul TPM fizik ose virtual ).
Kjo mund të shkaktojë probleme për administratorët që nuk përdorin menaxhimin e çelësave për të ruajtur çelësat e tyre të rikuperimit, pasi (sipas dizajnit!) nuk mund të aksesoni një disk pa çelësin e tij të rikuperimit. Nëse nuk e keni atë çelës, inxhinieri i kriptografisë dhe infrastrukturës Tony Arcieri në Mastodon e krahasoi këtë me një “sulm ransomware të vetëshkaktuar”, ku një sulmues kodon disqet në sistemet tuaja dhe e mban çelësin derisa të paguhen.
Dhe edhe nëse keni një çelës rikuperimi, serveri juaj i menaxhimit të çelësave mund të ndikohet gjithashtu nga defekti i CrowdStrike.
Ne do të vazhdojmë të gjurmojmë rekomandimet nga Microsoft dhe CrowdStrike në lidhje me rregullimet ndërsa përditësohen faqet përkatëse të statusit të secilës kompani.
“Ne e kuptojmë peshën e situatës dhe na vjen shumë keq për shqetësimin dhe ndërprerjen,” shkroi CEO i CrowdStrike George Kurtz në X, dikur Twitter. “Ne po punojmë me të gjithë klientët e ndikuar për të siguruar që sistemet të rikthehen dhe ata mund të ofrojnë shërbimet në të cilat shpresojnë klientët e tyre.”