Résumé du problème : Des clients ont été affectés par un défaut identifié dans une mise à jour spécifique du contenu de l’agent CrowdStrike Falcon pour les hôtes Windows, provoquant des plantages du système et des écrans bleus de la mort (BSOD).

Date de publication : 19 juillet 2024

Impact : Écran bleu de la mort, indisponibilité

Gravité : Critique

FAQ :

Q : Quels sont les symptômes du problème et la résolution automatique ?

  • Les symptômes comprennent les hôtes qui rencontrent une erreur de vérification de l’écran liée au capteur Falcon.
  • Les hôtes Windows qui n’ont pas été touchés n’ont pas besoin d’agir car le fichier de canal problématique a été rétabli.
  • Les hôtes Windows achetés en ligne après 0527 UTC ne seront pas non plus affectés.
  • Ce problème n’affecte pas les hôtes basés sur Mac ou Linux.
  • Le fichier de canal “C-00000291*.sys” dont l’horodatage est de 0527 UTC ou plus tard est la version annulée (bonne).
  • Le fichier de canal “C-00000291*.sys” avec l’horodatage de 0409 UTCest la version problématique.

Q : Quelles sont les actions recommandées pour résoudre manuellement ce problème ?

  • CrowdStrike Engineering a identifié un déploiement de contenu lié à ce problème et a annulé ces modifications. Si les hôtes continuent à se bloquer et à ne pas pouvoir rester en ligne pour recevoir les modifications du fichier de canal, les étapes suivantes peuvent être utilisées pour contourner ce problème :

Étapes de contournement pour les hôtes individuels :

  • Redémarrez l’hôte pour lui donner la possibilité de télécharger le fichier de canal inversé.Si l’hôte se bloque à nouveau, alors.. :
  • Démarrez Windows en mode sans échec ou dans l’environnement de récupération Windows.
  • Naviguez jusqu’au répertoire %WINDIR%
  • Localisez le fichier correspondant à “C-00000291*.sys” et supprimez-le.
  • Démarrez l’hôte normalement.

Remarque : les hôtes cryptés par Bitlocker peuvent nécessiter une clé de récupération.

Etapes de contournement pour le cloud public ou un environnement similaire, y compris les machines virtuelles :

Option 1 :

  • Détachez le volume du disque du système d’exploitation du serveur virtuel concerné.
  • Créez un instantané ou une sauvegarde du volume du disque avant de poursuivre, afin de vous prémunir contre des modifications involontaires.
  • Attacher/monter le volume à un nouveau serveur virtuel
  • Naviguez jusqu’au répertoire %WINDIR%
  • Localisez le fichier correspondant à “C-00000291*.sys” et supprimez-le.
  • Détachez le volume du nouveau serveur virtuel
  • Attachez à nouveau le volume fixe au serveur virtuel concerné.

Option 2 :

  • Revenir à un instantané avant 0409 UTC.

Etapes de contournement pour Azure via série

  • Connectez-vous à la console Azure -> Allez à Machines virtuelles -> Sélectionnez la VM
  • En haut à gauche de la console -> Cliquez : “Connecter” -> Cliquez -> Connecter -> Cliquez “Plus de façons de se connecter” -> Cliquez : “Console série”
  • Étape 3 : Une fois que le SAC est chargé, tapez ‘cmd’ et appuyez sur ‘enter’.
  • tapez la commande “cmd”.
  • tapez : ch -si 1
  • Appuyez sur n’importe quelle touche (barre d’espacement).Entrez les informations d’identification de l’administrateur
  • Tapez ce qui suit :
  • bcdedit /set {current} safeboot minimal
  • bcdedit /set {current} safeboot network
  • Redémarrer la VM
  • Facultatif : Comment confirmer l’état de démarrage ? Exécutez la commande :
  • wmic COMPUTERSYSTEM GET BootupState (état de démarrage)

Dernières mises à jour de CrowdStrike

  • 2024-07-19 05:30 AM UTC | Tech Alert Publié.
  • 2024-07-19 06:30 AM UTC | Mise à jour et ajout des détails de la solution de contournement.
  • 2024-07-19 07:08 AM UTC | CrowdStrike Engineering a identifié un déploiement de contenu lié à ce problème et a annulé ces modifications.
  • 2024-07-19 07:32 AM UTC | Ajout d’une couverture RP