CrowdStrike’dan Flash Açıklama!

CrowdStrike, Windows için yayımlanan bir içerik güncellemesinde tespit edilen bir hatadan etkilenen müşterilerle aktif olarak çalıştığını duyurdu. Bu sorun, Mac ve Linux hosts’u etkilemezken, güvenlik olayı veya siber saldırı olmadığı belirtildi. Sorunun tespit edildiği, izole edildiği ve düzeltmenin uygulandığı ifade edildi. CrowdStrike, müşterilerine en son güncellemeler için destek portalını ziyaret etmelerini ve sürekli olarak web sitesinde güncellemeler sağlanacağını belirtti.

CrowdStrike ekibi, müşterilerinin güvenliğini ve stabilitesini sağlamak için tamamen seferber edildiğini belirtti ve müşterilerin resmi kanallar aracılığıyla CrowdStrike temsilcileriyle iletişimde kalmalarını önerdi.

Güncelleme 19 Temmuz 2024, 09:22 ET:

CrowdStrike, küresel müşterilerine en hızlı şekilde kapsamlı ve sürekli güncellemeler sağlamak için yoğun bir şekilde çalıştığını bildirdi. Aşağıda, sorun hakkında daha fazla bilgi ve organizasyonların alabileceği geçici çözüm adımlarını içeren en son CrowdStrike Teknik belge ve içerikler yer almaktadır.

Detaylar:

• Belirtiler, Falcon Sensor ile ilgili bir hata kontrolü/mavi ekran hatası yaşayan hosts’u içerir.
  
• Etkilenmemiş Windows sistemler için herhangi bir işlem gerektirmez, çünkü sorunlu dosya geri çekilmiş durumdadır.
  
• 0527 UTC sonrası çevrimiçi hale getirilen Windows sistemller de etkilenmez.
  
• Windows 7/2008 R2 çalıştıran hosts etkilenmez.
  
• Bu sorun, Mac veya Linux tabanlı sistemleri etkilemez.
  
• 0527 UTC veya daha sonraki zaman damgasına sahip “C-00000291*.sys” dosyalaro geri çekilmiştir.
  
• 0409 UTC zaman damgasına sahip “C-00000291*.sys” dosyaları sorunlu versiyondur.

Geçici çözüm adımları:

1. Sistemi yeniden başlatarak geri çekilen dosyalara indirme şansı verin. Eğer host tekrar çökerse:
   
2. Windows’u Güvenli Modda veya Windows Kurtarma Ortamında başlatın.
   • Not: Hosts’u kablolu bir ağa bağlamak (WiFi yerine) ve Ağ ile Güvenli Modu kullanmak gerekiyor.
     
3. %WINDIR%\System32\drivers\CrowdStrike dizinine gidin.
   
4. “C-00000291*.sys” ile eşleşen dosyayı bulun ve silin.
   
5. Hosts’u normal şekilde başlatın.
   • Not: BitLocker şifrelemesi olan hosts’lar kurtarma anahtarı gereklidir.

Bulut veya sanal ortamlar için geçici çözüm adımları:

Seçenek 1:

1. Etkilenen sanal sunucudan işletim sistemi disk bölümünü ayırın.
   
2. İstenmeyen değişikliklere karşı bir önlem olarak disk bölümünün anlık görüntüsünü veya yedeğini oluşturun.
   
3. Disk bölümünü yeni bir sanal sunucuya bağlayın.
   
4. %WINDIR%\System32\drivers\CrowdStrike dizinine gidin.
   
5. “C-00000291*.sys” ile eşleşen dosyayı bulun ve silin.
   
6. Disk bölümünü yeni sanal sunucudan ayırın.
   
7. Düzeltilen disk bölümünü etkilenen sanal sunucuya yeniden bağlayın.

Seçenek 2:

1. 0409 UTC öncesi bir Snapshot geri dönün.

AWS-specific documentation:

• To attach an EBS volume to an instance
• Detach an Amazon EBS volume from an instance

Azure environments:

• Please see this Microsoft article

Bitlocker recovery-related KBs:

• BitLocker recovery in Microsoft Azure
• BitLocker recovery in Microsoft environments using SCCM
• BitLocker recovery in Microsoft environments using Active Directory and GPOs
• BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager