Las correcciones de CrowdStrike comienzan con “reiniciar hasta 15 veces” y se vuelven más complejas a partir de allí

Las aerolíneas, los procesadores de pagos, los centros de llamadas al 911, las cadenas de televisión y otras empresas han estado en problemas esta mañana después de que una actualización con errores del software de seguridad Falcon de CrowdStrike provocara que los sistemas basados ​​en Windows se bloquearan con un temido mensaje de error de pantalla azul de la muerte (BSOD).

Estamos actualizando Nuestra historia sobre el apagón con nuevos detalles a medida que los tengamos. Microsoft y CrowdStrike Ambos dicen que “la actualización afectada ha sido retirada”, por lo que lo más importante para los administradores de TI a corto plazo es lograr que sus sistemas vuelvan a funcionar. Según las instrucciones de Microsoft, las soluciones varían desde molestas pero fáciles hasta increíblemente lentas y complejas, según la cantidad de sistemas que tenga que reparar y la forma en que estén configurados sus sistemas.

La página de estado de Azure de Microsoft describe varias soluciones. La primera y más sencilla es simplemente intentar reiniciar las máquinas afectadas una y otra vez, lo que les da a las máquinas afectadas varias oportunidades de intentar obtener la actualización no dañada de CrowdStrike antes de que el controlador defectuoso pueda causar la pantalla azul de la muerte. Microsoft dice que algunos de sus clientes han tenido que reiniciar sus sistemas hasta 15 veces para descargar la actualización.

Si reiniciar no funciona

Si reiniciar varias veces no soluciona el problema, Microsoft recomienda restaurar los sistemas con una copia de seguridad anterior a las 4:09 UTC del 18 de julio (justo después de la medianoche del viernes, hora del este), cuando CrowdStrike comenzó a distribuir la actualización con errores. Crowdstrike afirma que se implementó una versión revertida del archivo a las 5:27 UTC.

Si estas soluciones más simples no funcionan, es posible que deba iniciar sus máquinas en modo seguro para poder eliminar manualmente el archivo que está causando los errores de pantalla azul. Para las máquinas virtuales, Microsoft recomienda adjuntar el disco virtual a una máquina virtual de reparación que funciona correctamente para que se pueda eliminar el archivo y luego volver a conectar el disco virtual a su máquina virtual original.

El archivo en cuestión es un controlador de CrowdStrike ubicado en Windows/System32/Drivers/CrowdStrike/C-00000291*.sysUna vez que desaparezca, la máquina debería iniciarse normalmente y obtener una versión no dañada del controlador.

Eliminar ese archivo en todos y cada uno de los sistemas afectados individualmente consume bastante tiempo, pero es aún más más Es una tarea que requiere mucho tiempo para los clientes que utilizan el cifrado de unidades BitLocker de Microsoft para proteger los datos en reposo. Antes de poder eliminar el archivo en esos sistemas, necesitará la clave de recuperación que desbloquea esos discos cifrados y los hace legibles (normalmente, este proceso es invisible, porque el sistema puede simplemente leer la clave almacenada en un módulo TPM físico o virtual).

Esto puede causar problemas a los administradores que no utilizan la administración de claves para almacenar sus claves de recuperación, ya que (¡por diseño!) no se puede acceder a una unidad sin su clave de recuperación. Si no tiene esa clave, el ingeniero de criptografía e infraestructura Tony Arcieri en Mastodon comparó esto a un “ataque de ransomware autoinfligido”, donde un atacante cifra los discos en sus sistemas y retiene la clave hasta que le paguen.

E incluso si tiene una clave de recuperación, su servidor de administración de claves También podría verse afectado por el error de CrowdStrike.

Continuaremos haciendo un seguimiento de las recomendaciones de Microsoft y Golpe de masas sobre las correcciones a medida que se actualizan las páginas de estado respectivas de cada empresa.

“Entendemos la gravedad de la situación y lamentamos profundamente los inconvenientes y las interrupciones”. escribió George Kurtz, director ejecutivo de CrowdStrike, en X, anteriormente Twitter. “Estamos trabajando con todos los clientes afectados para garantizar que los sistemas vuelvan a funcionar y puedan prestar los servicios con los que cuentan sus clientes”.