Microsoft выпустила вспомогательный инструмент для системных администраторов для исправления BSOD в Windows 10/11 из-за некорректного обновления ПО CrowdStrike с помощью загрузочного USB-накопителя и скрипта MsftRecoveryToolForCS.ps1.
Ранее CrowdStrike выпустила патч для исправления логической ошибки, которая привела к миллионам ошибок с BSOD, но большинство ПК не могут автоматически получить это исправление из-за своего нерабочего состояния.
Восстановление работоспособности IT-систем клиентов из-за глобального сбоя ПО CrowdStrike в Windows может занять недели из-за необходимости системным администраторам возвратить к жизни ПК, серверы и ноутбуки вручную, удалённое подключение не работает. Нужно загрузить систему в Safe mode и выполнить некоторые команды или поработать с реестром.
Инструмент Microsoft Recovery Tool против сбоя в работе ПК из-за CrowdStrike от Microsoft помогает обойти необходимость загрузки ПК вручную в безопасном режиме и запуск вручную процесса удаления проблемного файла с обновлением CrowdStrike.
Инструмент восстановления Microsoft позволяет сделать этот процесс восстановления ПК более простым, загружая среду Windows PE через USB-накопитель, получая доступ к диску поражённого компьютера и автоматически удаляя проблемный файл CrowdStrike, чтобы обеспечить правильную загрузку компьютера. Это позволяет избежать необходимости загрузки в безопасном режиме или требований прав администратора на компьютере, поскольку инструмент просто обращается к диску без загрузки локальной копии Windows. Если диск защищён шифрованием BitLocker, то инструмент Microsoft запросит ключ восстановления BitLocker, а затем продолжит исправление обновления CrowdStrike.
Примечательно, что в некоторых случаях скрипт MsftRecoveryToolForCS.ps1 не работает корректно.
Ранее Microsoft сообщила, что количество столкнувшихся с глобальным сбоем в работе ПК и серверов на Windows из-за некорректного обновления ИБ-приложения CrowdStrike, где возник синий экран смерти (BSOD), составляет не менее 8,5 млн штук.
Глава ИБ-компании CrowdStrike Джордж Куртц (бывший технический директор McAfee и автор книги Hacking Expeded) заявил, что в компании понимают серьёзность ситуации и глубоко сожалеют о неудобствах и сбоях в IT-инфраструктуре клиентов. Курц подтвердил, что в глобальном сбое IT-систем в мире виноваты его разработчики. По его словам, хосты Mac и Linux не затронуты, а дефект в коде был в одном обновлении контента для хостов Windows. В компании признали, что совершили логическую ошибку в коде в файле обновления C-00000291-*.sys, которое в итоге ушло тысячам клиентов по всему миру на миллионы ПК.
Разработчик Патрик Уордл пояснил, что в обновлении файлов «C-00000291-…32.sys» для работы CSAgent.sys была допущена ошибка: mov r9d, [r8] (R8: unmapped address). Взятый из массива указателей (хранящихся в RAX), индекс RDX (0x14 * 0x8) содержал недопустимый адрес памяти (invalid memory address). В итоге это обновление «вызвало логическую ошибку, которая привела к сбою ОС через CSAgent.sys».
Файлы, приведшие к глобальному сбою Windows, можно скачать отсюда. Это файлы конфигурации («файлы каналов»), которые являются частью механизмов поведенческой защиты, используемой для сенсоров Falcon ПО CrowdStrike. Обновления этих файлов каналов является, согласно пояснению разработчиков, нормальной частью запрограммированного поведения сенсоров и происходят несколько раз в сутки в ответ на новые тактики, методы и процедуры, обнаруженные CrowdStrike. Это не новый процесс, такая архитектура обновлений компонентов существует с момента создания защитного сервиса Falcon.
В CrowdStrike запустили отдельный сайт «How to Fix CrowdStrike Issue?» для помощи инженерам и системным администраторам пострадавших клиентов.
Ресурсы CrowdStrike с публикацией информации по текущей ситуации по сбою:
Statement on Falcon Content Update for Windows Hosts.
Technical Details on Today’s Outage.
В Microsoft настоятельно советуют системным администраторам при BSOD с ошибками 0x50 или 0x7E из-за CrowdStrike выполнить несколько операций перезапуска хостов с Windows.
Также в Microsoft выпустили пошаговые инструкции для системных администраторов по решению этой проблемы для Windows 10 и Windows 11 под названием KB5042421: CrowdStrike issue impacting Windows endpoints causing an 0x50 or 0x7E error message on a blue screen.
Источник: habr.com