Falha em agente de proteção causa caos no mundo

Hoje em dia sabemos que tudo depende de tecnologia, neste cenário, quando se trata de tecnologia, não podemos deixar de falar sobre segurança! São diversas camadas de segurança, uma delas é a proteção ao endpoint, que são estações de trabalho, servidores e dispositivos móveis. Imagine que você é o cara que é responsável pela segurança da empresa (CISO) e lutou para conseguir defender e disponibilizar recursos financeiros para adquirir licenças de uso de uma ferramenta para proteção de endpoints, estamos falando em valores próximos de milhões por ano, para manter a visão e segurança dos endpoints da empresa e acorda com uma notícia de que este software ao invés de fazer o trabalho de evitar que os dispositivos fiquem indisponíveis, na verdade, fez o trabalho inverso.

Aparecem diversas teorias para o que aconteceu, que vai desde “novo ataque de cadeia de suprimentos”, ou que o estagiário (sempre sobra pra esses) fez um deploy em produção sem testar a modificação, etc…

Através do site downdetector.com, podemos ver o impacto em gigantes do mercado:

Aqui vamos te falar o que já chegou em nossas mãos, mais para apoiar na resolução de forma rápida, estamos em contato direto com o time da CrowdStrike, então vamos, lá.

Enviaram este texto para apoiar na solução:

“A CrowdStrike está ciente de relatos de falhas em hosts Windows relacionadas ao Falcon Sensor.

Detalhes

• Os sintomas incluem hosts apresentando um erro de verificação de bug/tela azul relacionado ao Falcon Sensor.
• Hosts Windows que não foram impactados não necessitam de nenhuma ação, pois o arquivo do canal problemático foi revertido.
• Hosts Windows que são trazidos online após 0527 UTC também não serão impactados.
• Este problema não está impactando hosts baseados em Mac ou Linux.
• O arquivo do canal “C-00000291*.sys” com data/hora de 0527 UTC ou posterior é a versão revertida (boa).
• O arquivo do canal “C-00000291*.sys” com data/hora de 0409 UTC é a versão problemática.

Ação Atual

• A engenharia da CrowdStrike identificou uma implantação de conteúdo relacionada a este problema e reverteu essas mudanças.
• Se os hosts ainda estiverem falhando e não conseguirem permanecer online para receber as mudanças no Arquivo do Canal, os seguintes passos podem ser usados como solução alternativa:

Passos para Solução Alternativa para hosts individuais:

1. Reinicie o host para dar a oportunidade de baixar o arquivo do canal revertido. Se o host falhar novamente, então:

• Inicialize o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
• Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike.
• Localize o arquivo correspondente a “C-00000291*.sys” e exclua-o.
• Inicialize o host normalmente.

Nota: Hosts criptografados com Bitlocker podem exigir uma chave de recuperação.

Passos para Solução Alternativa para ambientes de nuvem pública ou semelhantes, incluindo virtual:

Opção 1:

1. Desanexar o volume de disco do sistema operacional do servidor virtual impactado.
2. Criar um snapshot ou backup do volume de disco antes de prosseguir como precaução contra mudanças não intencionais.
3. Anexar/montar o volume a um novo servidor virtual.
4. Navegar até o diretório %WINDIR%\System32\drivers\CrowdStrike.
5. Localizar o arquivo correspondente a “C-00000291*.sys” e excluí-lo.
6. Desanexar o volume do novo servidor virtual.
7. Reanexar o volume corrigido ao servidor virtual impactado.

Opção 2:

1. Reverter para um snapshot antes de 0409 UTC.

Passos para Solução Alternativa para Azure via serial:

1. Fazer login no console do Azure –> Ir para Máquinas Virtuais –> Selecionar a VM.
2. No canto superior esquerdo do console –> Clique em “Conectar” –> Clique em “Mais maneiras de Conectar” –> Clique em “Console Serial”.
3. Uma vez que o SAC tenha carregado, digite ‘cmd’ e pressione enter.
4. Digite ‘cmd’ e pressione enter.
5. Digite: ch -si 1.
6. Pressione qualquer tecla (barra de espaço). Insira as credenciais de Administrador.
7. Digite o seguinte:

• bcdedit /set {current} safeboot minimal
• bcdedit /set {current} safeboot network

1. Reinicie a VM.

Opcional: Como confirmar o estado de inicialização? Execute o comando:

• wmic COMPUTERSYSTEM GET BootupState.

Últimas Atualizações

• 2024-07-19 05:30 AM UTC | Alerta Técnico Publicado.
• 2024-07-19 06:30 AM UTC | Atualizado e adicionados detalhes da solução alternativa.
• 2024-07-19 08:08 AM UTC | Atualizado.
• 2024-07-19 XXXX AM UTC | Atualizado.”