Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Actualización acerca del fallo de CrowdStrike

22 Jul 2024

INTRODUCCIÓN

CrowdStrike ha confirmado nuevos detalles sobre el incidente, indicando que este problema no afecta a hosts basados en Mac o Linux.

En cuanto a los equipos con Windows, CrowdStrike ha asegurado que los equipos que no han sido afectados no requieren ninguna acción, ya que el cambio problemático ha sido revertido. Del mismo modo, los equipos Windows puestos en línea después de las 0527 UTC tampoco se verán afectados.

El archivo de canal «C-00000291*.sys» con una marca de tiempo de 0527 UTC o posterior es la versión revertida (buena), mientras que el archivo con una marca de tiempo de 0409 UTC es la versión problemática.

RECOMENDACIONES

CrowdStrike Engineering ha identificado una implementación de contenido relacionada con este problema y ha revertido esos cambios. Si los hosts siguen fallando y no pueden mantenerse en línea para recibir los cambios del archivo del canal, se pueden utilizar los siguientes pasos para solucionar este problema:

Pasos de la solución temporal para equipos individuales:

  • Reinicie el host para darle la oportunidad de descargar el archivo del canal revertido. Si el host vuelve a fallar, entonces:   

  • Inicie Windows en Modo Seguro o en el Entorno de Recuperación de Windows

  • Acceda al directorio %WINDIR%\System32\drivers\CrowdStrike

  • Localice el archivo que coincide con “C-00000291*.sys” y elimínelo

  • Inicie el equipo en modo normal

Nota:  Los hosts cifrados con Bitlocker pueden requerir una clave de recuperación.

Pasos de la solución temporal para nube pública o entorno similar, incluyendo virtual:

Opción 1:

  • Desconecte el volumen del disco del sistema operativo del servidor virtual afectado

  • Cree una instantánea o una copia de seguridad del volumen del disco antes de continuar, como precaución contra cambios no intencionados

  • Conecte/monte el volumen a un nuevo servidor virtual

  • Acceda al directorio %WINDIR%\System32\drivers\CrowdStrike

  • Localice el archivo que coincide con “C-00000291*.sys” y elimínelo

  • Desconecte el volumen del nuevo servidor virtual

  • Vuelva a conectar el volumen arreglado al servidor virtual afectado

Opción 2:

  • Vuelva a una instantánea anterior a las 0409 UTC.

Pasos de la solución temporal para Azure vía serial

  1. Inicie sesión en la consola de Azure --> Vaya a Máquinas Virtuales --> Seleccione la VM

  2. En la parte superior izquierda de la consola --> Haga clic en "Conectar" --> Haga clic en "Más formas de conectar" --> Haga clic en "Consola serie"

  3. Una vez que se haya cargado SAC, escriba 'cmd' y presione enter.

    • Escriba el comando 'cmd'

    • Escriba: ch -si 1

  4. Presione cualquier tecla (barra espaciadora). Introduzca las credenciales de Administrador.

  5. Escriba lo siguiente:

    • bcdedit /set {current} safeboot minimal

    • bcdedit /set {current} safeboot network

  6. Reinicie la máquina virtual

  7. Opcional: Para obtener confirmación ejecute:   

    • wmic COMPUTERSYSTEM GET BootupState

REFERENCIAS

https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad en el servicio de VMware CVE-2021-22054
Leer más →
Alertas
Dos nuevas vulnerabilidades en Linux (CVE-2022-29799, CVE-2022-29800)
Leer más →
Alertas
Múltiples vulnerabilidades en productos Netgear Orbi
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día