Atualizado em 21/07/2024 0023 UTC
CrowdStrike está ajudando ativamente os clientes afetados por uma recente falha de atualização de conteúdo para hosts Windows. Os hosts Mac e Linux não são afetados. O problema foi identificado, isolado e uma correção foi implantada. Este não foi um ataque cibernético.
Os clientes são aconselhados a verificar o portal de suporte para atualizações. Também continuaremos a fornecer as informações mais recentes aqui e em nosso blog assim que estiverem disponíveis. Recomendamos que as organizações verifiquem se estão se comunicando com os representantes da CrowdStrike por meio de canais oficiais.
Garantimos aos nossos clientes que a CrowdStrike está operando normalmente e que esse problema não afeta nossos sistemas da plataforma Falcon. Se os seus sistemas estiverem operando normalmente, não haverá impacto na proteção deles se um sensor Falcon for instalado.
Compreendemos a gravidade desta situação e pedimos sinceras desculpas pelo transtorno e transtorno. Nossa equipe está totalmente preparada para garantir a segurança e estabilidade dos clientes CrowdStrike.
Declaração do nosso CEO
Postado em 2024-07-19 1930 UTC
Nossos valiosos clientes e parceiros,
Gostaria de estender minhas sinceras desculpas a todos vocês pela interrupção. Todos na CrowdStrike entendem a seriedade e o impacto da situação. Identificamos rapidamente o problema e implantamos uma solução, o que nos permitiu focar diligentemente na restauração dos sistemas dos clientes como nossa principal prioridade.
A interrupção foi causada por um bug descoberto na atualização de conteúdo do Falcon para hosts Windows. Os hosts Mac e Linux não são afetados. Este não foi um ataque cibernético.
Estamos trabalhando em estreita colaboração com os clientes e parceiros afetados para garantir que todos os sistemas sejam restaurados, para que você possa fornecer os serviços nos quais seus clientes confiam.
CrowdStrike está operando normalmente e esse problema não afeta nossos sistemas da plataforma Falcon. Não há impacto em qualquer proteção se um sensor Falcon estiver instalado. Os serviços Falcon Complete e Falcon OverWatch não estão desativados.
Forneceremos atualizações contínuas através do nosso portal de suporte em https://supportportal.crowdstrike.com/s/login/.
Mobilizamos toda a equipe da CrowdStrike para ajudar você e sua equipe. Se você tiver dúvidas ou precisar de suporte adicional, entre em contato com seu representante ou suporte técnico da CrowdStrike.
Sabemos que adversários e agentes maliciosos tentarão explorar eventos como este. Peço a todos que fiquem vigilantes e entrem em contato com os representantes oficiais da CrowdStrike. Nosso blog e suporte técnico continuarão sendo os canais oficiais para as atualizações mais recentes.
Não há nada mais importante para mim do que a confiança que nossos clientes e parceiros depositam na CrowdStrike. Enquanto trabalhamos para resolver este incidente, comprometo-me a fornecer total transparência sobre como isso aconteceu e as medidas que estamos tomando para evitar que algo assim aconteça novamente.
George Kurtz
Fundador e CEO da CrowdStrike
Detalhes técnicos
- Detalhes técnicos da interrupção podem ser encontrados aqui: Leia o blog Postado em 19/07/2024 01:00 UTC
- Garantimos aos nossos clientes que CrowdStrike está funcionando normalmente e esse problema não afeta nossos sistemas da plataforma FalconSe seus sistemas estiverem operando normalmente, não haverá impacto em sua proteção se o Sensor Falcon estiver instalado. Os serviços Falcon Complete e Overwatch não foram desativados devido a este incidente.
- A CrowdStrike identificou o gatilho para esse problema como a postagem de conteúdo relacionado a um sensor do Windows e revertemos essas alterações. O conteúdo é um arquivo de canal localizado no diretório %WINDIR%\System32\drivers\CrowdStrike.
- O arquivo de canal “C-00000291*.sys” com uma tag de tempo de 19/07/2024 0527 UTC ou posterior é a versão retornada (boa).
- O arquivo de canal “C-00000291*.sys” com uma tag de tempo de 19/07/2024 0409 UTC é a versão que apresenta um problema.
- Nota: É normal ter vários arquivos “C-00000291*.sys” no diretório CrowdStrike – desde que Um Se um arquivo na pasta tiver uma marcação de horário de 05:27 UTC ou posterior, este será o conteúdo ativo.
- Os sintomas incluem hosts que apresentam um erro de verificação de bug/tela azul relacionado ao sensor Falcon.
- Hosts Windows que possuem não Os problemas afetados não requerem nenhuma ação, pois o arquivo do canal problemático foi retornado.
Hosts não afetados
- Os hosts do Windows conectados à Internet após 19/07/2024 0527 UTC não serão afetados.
- Este problema não afeta hosts que executam Mac ou Linux
Como posso identificar hosts afetados?
Como posso identificar os hosts afetados por meio de uma consulta de pesquisa avançada de eventos? Atualizado em 21/07/2024 0023 UTC
Consulte este artigo da base de conhecimento: Como identificar hosts que podem ser afetados por uma falha do Windows (arquivo pdf) ou Faça login para visualizar o portal de suporte.
Como identifico os hosts afetados por meio do painel?
Está disponível um painel que exibe canais afetados, IDs de clientes e sensores afetados. Dependendo das suas assinaturas, ele estará disponível no menu do console:
- SIEM de próxima geração > Gerenciamento de registros > Painel, ou;
- Investigação > Painéis
- Foi nomeado após: Hosts_may_be_affected_by_window_crashes
- Nota: O painel não pode ser usado com o botão Live
Se os hosts continuarem travando e não conseguirem permanecer online para receber a atualização do arquivo do canal, é possível usar as etapas de reparo abaixo.
Como faço para corrigir hosts únicos?
- Reinicie a máquina host para ter a oportunidade de baixar o arquivo do canal de retorno. É altamente recomendável colocar o dispositivo host em uma rede com fio (em vez de WiFi) antes de reinicializar, pois o dispositivo host será capaz de obter uma conexão à Internet mais rápida via Ethernet.
- Se o host travar novamente na reinicialização, veja isto Artigo da Microsoft Para etapas detalhadas.
- Nota: Os hosts criptografados com Bitlocker podem exigir uma chave de recuperação.
Como recupero chaves do Bitlocker? Atualizado em 2024-07-20 2259 UTC
Como recuperar recursos do ambiente baseado em nuvem
Ambiente de nuvem | orientação |
---|---|
Amazon Web Services |
Artigo AWS |
céu azul |
Artigo da Microsoft |
JCB |
(PDF) ou Faça login para visualizar o portal de suporte |
Ambientes de nuvem pública/virtual |
Opção 1:
Opção 2:
|