top of page
Foto del escritorCyberpeace Tech

¿Cómo solucionar la "pantalla azul de la muerte" después de un error con CrowdStrike?

Te compartimos lo que se debe hacer ante el reciente incidente relacionado a actualizaciones de Sensores de Falcon CrowdStrike.


CrowdStrike

Descripción de la Vulnerabilidad

 

Se identificó que mediante una liberación de actualización de sensores de CrowdStrike, una irrupción de servicio era causada implicando el error BSOD (Blue Screen of Death) de Windows, implicando la disponibilidad de dispositivos con Windows al menos en una versión mayor a 7, ya que se informa que sistemas operativos de Mac y Linux no fueron afectados.

 

Origen de Irrupción en CrowdStrike

 

Se identificó que la actualización de sensores correspondiente al horario de 04:09 UTC, fue el origen la irrupción, generando el error previo mencionado, cabe destacar que para las actualizaciones tomadas después del horario 05:27 UTC ya no cuentan con esta vulnerabilidad de irrupción.

 

¿Cómo solventarlo?

 

CrowdStrike ha liberado acciones que pueden ser llevadas a cabo a fin de brindar una solución a la irrupción de servicio.

 

Hosts individuales:

 

  • Reiniciar el host para darle la oportunidad de descargar el archivo de revertido.

  • Si el host se bloquea de nuevo, entonces:

1. Arranque Windows en modo seguro o en el entorno de recuperación de Windows.

2. Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike

3. Localice el archivo «C-00000291*.sys» y elimínelo.

4. Arranque el sistema normalmente.

  •  Los hosts cifrados con BitLocker pueden requerir una clave de recuperación.


Nube pública o entorno virtual:

 

Opción 1:

 

  • Separe el volumen de disco del sistema operativo del servidor virtual

  • Crear una instantánea o copia de seguridad del volumen de disco antes de seguir adelante como medida de precaución contra cambios involuntarios.

  • Adjunte/monte el volumen a un nuevo servidor virtual

  • Dirigirse al Directorio %WINDIR%\System32\drivers\CrowdStrike

  • Localice el archivo «C-00000291*.sys» y elimínelo.

  • Separe el volumen del nuevo servidor virtual.

  • Vuelva a unir el volumen fijo al servidor virtual impactado.

 

Opción 2:

 

  • Retroceder a una instantánea anterior a las 04:09 UTC.

  • Pasos de solución para Azure a través de serie

  • Inicie sesión en la consola de Azure --> Vaya a Máquinas virtuales --> Seleccione la máquina virtual

  • Arriba a la izquierda en la consola --> Click : «Conectar» --> Haga clic en «Más formas de conectar» --> Haga clic en : «Serial»

  • Una vez cargado el SAC, teclea 'cmd' y pulsa enter.

  • Escriba el comando 'cmd´

  • Teclear : ch -si 1

  • Introduzca las credenciales de administrador

  • Escriba lo siguiente:

- bcdedit /set {actual} safeboot minimal

- bcdedit /set {actual} safeboot network

  • Reiniciar VM

 

Comprobaciones

 

A fin de comprobar si el archivo se encuentra se coloca el siguiente comando de comprobación:

 

Get-ChildItem -Path "C:\" -Recurse -Filter "*C-00000291.sys*"

 

Consideraciones Adicionales

 

Si bien, la irrupción de servicio no fue de carácter malicioso, la severidad del asunto y la desinformación que esto pueda generar, es posible que abra paso a ataques de ingeniería social.


Los ciberdelincuentes pueden aprovecharse de esta situación enviando correos electrónicos o mensajes que parecen provenir de CrowdStrike u otras fuentes fiables solicitando información confidencial o la descarga de Software adicional para corregir la vulnerabilidad, es importante permanecer atento solo a fuentes fiables y oficiales.

 




Referencias

SOC Radar. (2024, 19 de julio). CrowdStrike Update Causing Blue Screen of Death and Microsoft 365/Azure Outage - SOCRadar® Cyber Intelligence Inc. SOCRadar® Cyber Intelligence Inc. https://socradar.io/crowdstrike-update-causing-blue-screen-of-death-and-microsoft-365-azure-outage/

 

0 comentarios

Comments


bottom of page