Das Endpoint-Security-Unternehmen Crowdstrike hat ein Update veröffentlicht, das auf Windows-Systemen weit verbreitete "Blue Screens of Death" (BSOD) verursacht. Crowdstrike hat ein Advisory veröffentlicht, das nur nach dem Einloggen in die Crowdstrike-Support-Plattform verfügbar ist.
Einige Berichte, die wir gesehen haben, deuten darauf hin, dass möglicherweise Phishing-E-Mails im Umlauf sind, die angeblich von "Crowdstrike Support" oder "Crowdstrike Security" stammen. Zu diesem Zeitpunkt habe ich noch keine Beispiele, aber die Angreifer nutzen wahrscheinlich die große Aufmerksamkeit der Medien. Bitte seien Sie vorsichtig mit "Patches", die auf diese Weise geliefert werden können.
Eine Domain, die möglicherweise mit diesen Phishing-Angriffen in Verbindung gebracht wird, ist: crowdfalcon-immed-update [ .] com
Linux- und MacOS-Systeme sind von diesem Problem nicht betroffen.
Die schnellste Lösung scheint darin zu bestehen, das System in den "Windows Abgesicherten Modus mit Netzwerk" zu booten. Auf diese Weise wird Crowdstrike nicht gestartet, aber die aktuelle Version kann heruntergeladen und angewendet werden, wodurch das Problem behoben wird. Diese "Schnellversion" des Fixes ist nicht Teil der Empfehlungen von Crowdstrike, kann aber einen Versuch wert sein, wenn Sie viele Systeme haben, auf die Sie den Fix anwenden können, oder wenn Sie eine nicht computerversierte Person durch das Verfahren führen müssen. Einige Benutzer haben berichtet
Casimir Pulaski (@cybermactex) erwähnte auf X, dass ein einfacher Neustart manchmal funktioniert, wenn das letzte Update vor dem Systemabsturz heruntergeladen wurde.
Die Erklärung zum Support-Portal bietet die folgenden Schritte, um betroffene Systeme wieder in Betrieb zu nehmen:
CrowdStrike Engineering hat eine Inhaltsbereitstellung im Zusammenhang mit diesem Problem identifiziert und diese Änderungen rückgängig gemacht.
Schritte zur Problemumgehung:
1 - Starten Sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung
2 - Navigieren Sie zu C:WindowsSystem32driversCrowd
3 - Suchen Sie die Datei, die mit "C-00000291*.sys" übereinstimmt, und löschen Sie sie.
4 - Starten Sie den Host normal.
Bei einem Bitlocker-geschützten System müssen Sie den Wiederherstellungsschlüssel angeben, um die Datei zu löschen.
Virtuelle Systeme sind einfacher zu reparieren, da Sie in der Lage sein sollten, sie einfach herunterzufahren, die virtuelle Festplatte auf den Host oder ein anderes virtuelles System (Linux? ;-) zu mounten und die Datei zu entfernen.
Die durch dieses Problem verursachten Ausfälle sind weitreichend, wobei Benutzer auf X Probleme mit Flughäfen, 911-Systemen, Banken und Medien melden. Bitte haben Sie Geduld mit Unternehmen/Arbeitnehmern, die von dem Problem betroffen sind.
Dies ist nicht das erste Mal, dass Sicherheitssoftware Systemabstürze verursacht. Häufig sind diese Probleme auf falsch positive Ergebnisse zurückzuführen, die Systemdateien als bösartig markieren.
_edited_j.jpg)
Comments