Windows主机因CrowdStrike遭遇蓝屏事件——更新版

摘要

2024年7月19日星期五UTC时间04:09（中欧时间06:09，山地标准时间星期四21:09），一个有缺陷的CrowdStrike传感器配置更新——具体是一个"频道文件"——导致了广泛的问题，使运行传感器版本7.11及以上的Windows主机遭遇蓝屏死机（BSOD）。

CrowdStrike在90分钟内解决了此问题，于UTC时间05:27回退了有问题的频道文件。

关键要点：

• CrowdStrike并非网络攻击的目标
• 此问题不影响Linux或Mac主机；它们仍受保护
• 未受影响或已恢复的Windows主机受到保护
• 所有Kudelski Security系统已恢复并正常工作

受影响系统

该问题影响了在UTC时间04:09至05:27期间在线并接收到有缺陷的频道文件"C-00000291-*“的Windows主机。

CrowdStrike提供了两种识别可能受影响主机的方法：专用仪表板和高级事件搜索查询。

在UTC时间04:09至05:27期间离线的Windows主机不受影响。此外，Linux和Mac主机也不受影响。

仪表板

CrowdStrike在Next-Gen SIEM > 日志管理 > 仪表板下发布了多个仪表板。

我们建议使用"hosts_possibly_impacted_by_windows_crashes_granular_status"仪表板，使用方法如下：

1. 打开仪表板并选择您的CID，或者如果您有多个CID，使用*选择所有CID
2. 为所有aid（代理ID）选择*，或者如果您有许多主机，按aid子集分组
3. 如果需要，选择"CHECK"状态，注意以下值定义：
   • DOWN：高置信度评估，可能需要修复
     • 端点频道文件版本为0且在影响窗口后未签到
     • 端点在受影响窗口期间收到频道文件，但在影响窗口后未签到
   • VERIFY：低到中置信度评估
     • 端点在影响窗口期间收到频道文件并在影响窗口后已签到
   • RECOVERY_LIKELY：中置信度评估
     • 端点在影响窗口期间收到频道文件并在影响窗口后已签到，总报告运行时间为5-10小时
   • RECOVERY_VERY_LIKELY：中到高置信度评估
     • 端点在影响窗口期间收到频道文件并在影响窗口后已签到，总报告运行时间为10-20小时
   • UNKNOWN：没有足够可用数据形成评估
     • 无法根据可用遥测确定端点状态

在"按aid子集影响的传感器"小部件中，点击右上角的菜单找到将结果导出到文件的选项。

各云环境的链接：

• EU-1: https://falcon.eu-1.crowdstrike.com/investigate/search/custom-dashboards?search=windows_crashes
• US-1: https://falcon.crowdstrike.com/investigate/search/custom-dashboards?search=windows_crashes
• US-2: https://falcon.us-2.crowdstrike.com/investigate/search/custom-dashboards?search=windows_crashes
• US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/investigate/search/custom-dashboards?search=windows_crashes

更多信息可在专用页面找到：https://supportportal.crowdstrike.com/s/article/ka16T000001tm1eQAA

高级事件搜索

除了仪表板，CrowdStrike还提供了用于识别可能受影响主机的查询语句。这些查询可在仪表板页面末尾找到：https://supportportal.crowdstrike.com/s/article/ka16T000001tm1eQAA

高级事件搜索页面链接：

• EU-1: https://falcon.eu-1.crowdstrike.com/investigate/search
• US-1: https://falcon.crowdstrike.com/investigate/search
• US-2: https://falcon.us-2.crowdstrike.com/investigate/search
• US-GOV-1: https://falcon.laggar.gcw.crowdstrike.com/investigate/search

修复方案

CrowdStrike和云供应商根据主机类型提供了多种官方修复选项：

单个主机

手动修复 有报告称多次重启主机可能允许下载回退的频道文件。建议将主机连接到有线网络而不是WiFi，并尝试多次重启。

如果主机继续崩溃，请按照以下步骤操作：

1. 启动到安全模式或Windows恢复环境：https://support.microsoft.com/en-us/windows/start-your-pc-in-safe-mode-in-windows-92c27cff-db89-8644-1ce4-b3e5e56fe234
2. 导航到%WINDIR%\System32\drivers\CrowdStrike目录
3. 仅删除匹配"C-0000029*.sys"的文件
4. 正常启动主机

对于使用BitLocker加密的主机，可能需要恢复密钥。CrowdStrike在https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/上提供了多种检索BitLocker密钥的方法

通过USB工具修复

自动修复 最后，CrowdStrike刚刚在今天（7月22日星期一）发布了一种自动修复主机的方法。

此过程需要选择加入：您需要联系CrowdStrike支持或提供来自您Falcon管理员之一的CFC授权。

然后，需要多次重启受影响的主机，以便传感器有机会在应用之前下载最新指令（隔离有缺陷的频道文件）。

建议将主机连接到有线网络。

更新：7月23日星期二，现在已为所有客户应用并改为选择退出。不再需要向CrowdStrike支持或CFC开案例。因此，仅在主机未恢复时执行手动或通过USB修复。

建议

由于中断的规模，威胁行为者很可能针对CrowdStrike客户。CrowdStrike情报已经报告了可能用于冒充其网站的域名注册。

CFC正在积极监控情况，并在必要时通知客户进一步的发展。

参考资料

• https://www.crowdstrike.com/blog/technical-details-on-todays-outage/

• https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/

• https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19（需要登录CrowdStrike，截至2024-07-22 16:00 UTC，该页面的大部分信息已在此博客文章中提供）

• https://supportportal.crowdstrike.com/s/article/ka16T000001tlqMQAQ - 如何识别可能受Windows崩溃影响的主机

• https://www.cisa.gov/news-events/alerts/2024/07/19/widespread-it-outage-due-crowdstrike-update