شرکت کراوداستریک، یک تامین کننده پیشرو امنیت سایبری، سرویس های امنیتی برای نقاط نهایی (End point)، حجم کاری ابری (Cloud workload)، هویت کاربری و دادهها ارائه میدهد. کراوداستریک که مورد اعتماد بیش از ۲۹۸ شرکت از فهرست ۵۰۰ شرکت برتر fortune 500، ۴۳ ایالت آمریکا، ۶ مورد از ۱۰ ارائه دهنده برتر خدمات درمانی و ۸ مورد از ۱۰ شرکت برتر خدمات مالی است، بازیگری برجسته در این صنعت به شمار میرود.
پلتفرم Falcon آنها یک راهکار امنیتی یکپارچه و ابری است که برای جلوگیری از تمام انواع حملات، از جمله بد افزار و فراتر از آن طراحی شده است. با این حال، یک بروزرسانی اخیر برای عامل Falcon Sensor در ویندوز یک مشکل اساسی ایجاد کرده است: یک حلقه بوت صفحه آبی مرگ (BSOD) که سیستم های آسیب دیده را غیرقابل استفاده میکند. این مشکل گسترده باعث اختلال در عملیات در بخشهای مختلف، به ویژه خطوط هوایی، بانک ها و ارائه دهندگان خدمات درمانی شده است.
کراوداستریک این مشکل را تایید کرده و استقرار بروزرسانی معیوب را متوقف کرده است. اخطاری که برای کاربران ارسال شده تأیید میکند که آنها از خرابی های روی میزبان های ویندوز مرتبط با Falcon Sensor، به ویژه خطاهای bugcheck/صفحه آبی مطلع هستند. متأسفانه، راه حل رسمی برای بازیابی رایانه های شخصی ویندوز که در حلقه بوت BSOD گرفتار شدهاند، همچنان مبهم است. چند روش برای رفع این مشکل وجود دارد، در ادامه در مورد آنها بخوانید.
راه حل رسمی برای مشکل BSOD کراوداستریک روی رایانه های شخصی ویندوز:
کامپیوتر شخصی ویندوز خود را در حالت Safe Mode یا Windows Recovery Environment راه اندازی کنید. به C:\Windows\System32\drivers\CrowdStrike بروید. فایل مطابق با "C-00000291*.sys" را پیدا و حذف کنید. به صورت عادی راه اندازی کنید. راه دیگر این است که با استفاده از یکی از روش های زیر از راه اندازی CrowdStrike جلوگیری کنید:
روش ۱:
از گزینه های بازیابی وارد Command Prompt شوید. به C:\Windows\System32\Drivers بروید. نام CrowdStrike را به Crowdstrike_Old تغییر دهید. کامپیوتر را مجددا راه اندازی کنید.
روش ۲:
کامپیوتر شخصی ویندوز خود را در حالت Safe Mode یا Windows Recovery Environment راه اندازی کنید. به رجیستری ویندوز بروید. کلید زیر را برای غیرفعال کردن بارگذاری csagent.sys ویرایش کنید. HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Start را از ۱ به ۴ تغییر دهید. اگر از ویندوز روی نمونه AWS EC2 استفاده میکنید، میتوانید روش زیر را امتحان کنید:
حجم EBS را از EC2 آسیب دیده جدا کنید.
حجم EBS را به یک EC2 جدید وصل کنید.
پوشه درایور CrowdStrike را طبق راه حل پیشنهادی CrowdStrike اصلاح کنید.
حجم EBS را از نمونه EC2 جدید جدا کنید.
حجم EBS را به نمونه EC2 آسیب دیده وصل کنید.
روش فوق را می توان برای نمونه های ویندوز در حال اجرا روی Google Cloud Platform نیز اعمال کرد.
بروزرسانی ۱:
جورج کورتز، مدیرعامل کراوداستریک در پاسخ به قطعی های ناشی از کراوداستریک توییت کرد.
کراوداستریک به طور فعال با مشتریانی که تحت تأثیر یک نقص در یک بروزرسانی محتوا برای میزبان های ویندوز قرار گرفتهاند، همکاری میکند. میزبان های مک و لینوکس تحت تأثیر قرار نگرفتهاند. این یک حادثه امنیتی یا حمله سایبری نیست. این مشکل شناسایی، جدا و برطرف شده است.