MRシリーズ | Endpoint Pretection

Powered by Technol

あなたの情報を最新の脅威から守る
「ネットワークセキュリティー」

お知らせ

MR-ED;続報【Windows】ブルースクリーンでPCがシャットダウンされてしまう問題について

MR-ED
投稿日 : 2024.07.22

平素よりMR-EDをご利用いただきまして誠にありがとうございます。
MR-EDを導入されているWindows PC端末にブルースクリーンでPCがシャットダウンされてしまう問題が確認されました。
本障害の原因ですが、WindowsUpdateのバグにCROWDSTRIKE社のFalconセンサーが反応してしまい、ブルースクリーンになった後再起動を繰り返すというもでした。
ご利用中のお客様には多大なるご不便とご迷惑をお掛けいたしておりますことを深くお詫び申し上げます。

--
【Summary】
Falcon Sensor に関連する Windows ホストのクラッシュ(BSOD)が確認されております。

【Technical Overview】
クラウドストライク社では、この問題のトリガーがWindowsセンサー関連のコンテンツ展開であることを特定し、これらの変更を元に戻しました。
原因となったコンテンツは、%WINDIR%\System32\drivers\CrowdStrikeディレクトリにあるチャネルファイルです。
原因となるチャネルファイル「C-00000291*.sys」のタイムスタンプが日本時間2024/7/19 13:09から14:27の場合、影響を受ける可能性がございます。
(日本時間 2024/7/19 14:27 以降のチャネルファイルの場合は、修正が行われておりますので復旧対処の必要はございません)
※注意: CrowdStrike ディレクトリに複数の C-00000291*.sys ファイルが存在する場合がありますがこれは正常動作です。このような場合フォルダ内のいずれかの同ファイルのタイムスタンプが 日本時間 2024/7/19 14:27 以降であれば、そのファイルがアクティブとしてみなされます。

【影響を受けない端末】
日本時間2024/7/19 14:27 以降にオンラインになったWindows端末
MacまたはLinuxの端末

【ステップ1:影響を受ける端末の特定】
[Advanced Event Search による端末特定方法]
検索クエリーは、こちらの記事(https://supportportal.crowdstrike.com/s/article/ka16T000001tlqMQAQ)を参照ください。

[ダッシュボードによる端末特定方法]
ダッシュボードでは、本問題の影響を受けたWindows端末を表示します。
※注意: ご利用にはInsightのサブスクリプションが必要になります。

 ・次世代 SIEM > ダッシュボード (Next-Gen SIEM > Log management > Dashboard)
 ・ダッシュボード名: Hosts_possibly_impacted_by_windows_crashes

ダッシュボードの使用方法、影響を受ける端末の特定方法は、こちらの記事(https://www.crowdstrike.com/wp-content/uploads/2024/07/Dashboards-to-identify-Windows-hosts-impacted-by-the-content-update-defect.pdf)を参照ください。

【ステップ2:復旧】
ホストのクラッシュが継続して発生してしまい、クラウドからの修正の適用が行われない場合には、以下の手順で復旧が可能です。

[個々の端末に対する復旧策]
・端末を再起動すると、修正されたチャンネルファイルをダウンロードできるようになります。高速な通信を確保するため有線インターネット接続で端末を再起動することをおすすめいたします。
・リブート後にクラッシュが継続する場合
 [オプション1] 手動削除手順
  こちらのマイクロソフトの記事から復旧のステップをご確認いただけます。(https://support.microsoft.com/en-us/topic/b1c700e0-7317-4e95-aeee-5d67dd35b92f)

 [オプション2] リカバリツールによる削除手順
  リカバリツールは、こちらのKB記事をご参照ください。(https://supportportal.crowdstrike.com/s/article/ka16T000001tlzYQAQ)
  ※注意: 上記のオプションは共にBitLockerで暗号化された端末は回復キーが必要な場合があります

【マイクロソフト環境でのBitLockerリカバリ】
Microsoft Azure での BitLocker (https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-Azure-2.0.1.pdf)
SCCM を使用した Microsoft 環境での BitLocker リカバリ (https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-SCCM-2.0.pdf)
Active Directory と GPO を使用した Microsoft 環境での BitLocker のリカバリ(https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-Active-Directory-and-GPOs-2.0.pdf)
Ivanti Endpoint Manager を使用した Microsoft 環境での BitLocker のリカバリ (https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-Ivanti-Endpoint-Manager-2.0.1.pdf)
ManageEngine Desktop Central を使用した Microsoft 環境での BitLocker のリカバリ (https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-ManageEngine-Desktop-Central-2.0.pdf)
IBM BigFix を使用した Microsoft 環境での BitLocker のリカバリ (https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-IBM-BigFix-2.0.pdf)


【Workspace ONE ポータルでのBitLockerリカバリ】
User Access to Recovery Key in the Workspace ONE Portal(https://techzone.omnissa.com/enabling-bitlocker-encryption-remote-windows-devices-workspace-one-operational-tutorial#user-access-to-recovery-key-in-the-workspace-one-portal)


【TaniumでのBitLockerリカバリ】
Reference: Windows encryption management(https://help.tanium.com/bundle/ug_enforce_onprem/page/enforce/reference-windows-encryption.html)


【CtrixでのBitLockerリカバリ】
BitLocker recovery key(https://docs.citrix.com/en-us/citrix-endpoint-management/device-management/windows/windows-desktop-laptop#bitlocker-recovery-key)


【回復キーなしでのBitLockerリカバリ】
こちらの記事(https://supportportal.crowdstrike.com/s/article/ka16T000001tlvqQAA)
を参照ください


【AWSリカバリ】
How do I recover AWS resources that were affected by the CrowdStrike Falcon agent?(https://repost.aws/en/knowledge-center/ec2-instance-crowdstrike-agent)


【Azureリカバリ】
Azure status(https://azure.status.microsoft/en-gb/status)


【Google Cloud Platform (GCP) リカバリ】
Automated Recovery from Blue Screen on Windows Instances in GCP(https://supportportal.crowdstrike.com/s/article/ka16T000001tlu4QAA)


【パブリック クラウドまたは仮想を含む同様の環境の復旧手順】
[オプション1]
影響を受ける仮想サーバーからオペレーティングシステムのディスクボリュームを切り離す
先に進む前にディスクボリュームのスナップショットまたはバックアップを作成。(意図しない変更に対する予防策)
ボリュームを新しい仮想サーバーに接続/マウント
“%WINDIR%\\System32\drivers\CrowdStrike” ディレクトリに移動
“C-00000291"から始まるファイル名で、“.sys” で終わるファイル(“C-00000291*.sys”)を削除
新しい仮想サーバーからボリュームを切り離す
影響を受けた仮想サーバーに固定ボリュームを接続/マウント

[オプション2]
 日本時間2024/7/19 13:09より前のスナップショットにロールバック


【Intel vPro テクノロジー修復ガイド】
Remediate CrowdStrike Falcon® update issue on Windows systems with Intel vPro® technology(https://community.intel.com/t5/Intel-vPro-Platform/Remediate-CrowdStrike-Falcon-update-issue-on-Windows-systems/m-p/1616593/thread-id/11795)


【Rublikリカバリ】
CrowdStrike & Rubrik Customer Content Update Recovery For Windows Hosts(https://www.rubrik.com/blog/technology/24/7/crowdstrike-rubrik-customer-content-update-recovery-for-windows-hosts?icid=2024-03-29_8OMXVI587F)


【Cohesityサポート】
Cohesity’s support for CrowdStrike’s Falcon Sensor updates(https://www.cohesity.com/blogs/standing-strong-together-cohesitys-support-for-crowdstrikes-falcon-sensor-updates/)


以上、よろしくお願い申し上げます。

ページ上部に戻る