19.07.2024 11:55

CrowdStrike Agent erzeugt Bluescreen of Death (BSOD) Dauer-Schleife auf Windows Systemen - Fehlerhaftes Update für Falcon Sensor

Durch ein fehlerhaftes Update im CrowdStrike Produkt Falcon Sensor kommt es aktuell weltweit zu massiven Systemausfällen. Das Update erzeugt eine BlueScreen-Dauerschleife auf betroffenen Systemen.
CrowdStrike ist sich dem Problem bewusst und arbeitet an einer Lösung.

Update: Microsoft hat inzwischen ein Wiederherstellungstool bereitgestellt, welches den untenstehenden Workaround automatisiert.

Update: Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing im Zusammenhang mit dem Vorfall

 

Vorläufige Workarounds für betroffene Systeme wurden identifiziert:

Falls eine Verbindung direkt nach dem Booten (ohne VPN etc) der betroffenen Windows-Systeme mit den CrowdStrike Servern möglich ist:

  • Mehrmaliger Neustart der Systeme

Falls keine direkte Verbindung der betroffenen Windows-Systeme mit den CrowdStrike Servern möglich ist:

  • Starten Sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung (je nach Konfiguration sind Administrations-Berechtigungen notwendig)
  • Navigieren Sie zum Verzeichnis C:\Windows\System32\drivers\CrowdStrike
  • Suchen Sie die Datei, die C-00000291*.sys entspricht, und löschen Sie sie.
  • Booten Sie den Host normal.

Wir konnten die Workarounds nicht selber testen, haben aber positive Rückmeldungen zur Funktionalität erhalten.


Wir haben erfahren, dass bei Systemen mit aktiviertem BitLocker der Zugriff im abgesicherten Modus erschwert sein kann. Halten Sie hierfür die Wiederherstellungs-Schlüssel bereit.

Für Systeme in Public Clouds oder ähnlichen Umgebungen empfiehlt CrowdStrike:

  1. Detach the operating system disk volume from the impacted virtual server
  2. Create a snapshot or backup of the disk volume before proceeding further as a precaution against unintended changes
  3. Attach/mount the volume to a new virtual server:
  4. Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
  5. Locate the file matching “C-00000291*.sys”, and delete it.
  6. Detach the volume from the new virtual server
  7. Reattach the fixed volume to the impacted virtual server

Weitere Informationsquellen: