تم التحديث الساعة 9:13 مساءً بالتوقيت الشرقي، 19 يوليو 2024
تعمل CrowdStrike بشكل نشط مع العملاء المتأثرين بالثغرة الأمنية الموجودة في تحديث المحتوى الفردي لمضيفي Windows. لا يتأثر مضيفو Mac وLinux. هذا ليس هجوما إلكترونيا.
يتم تحديد المشكلة وعزلها وتطبيق الإصلاح. نقوم بإحالة العملاء إلى بوابة الدعم للحصول على آخر التحديثات وسنستمر في تقديم تحديثات عامة كاملة ومستمرة على مدونتنا.
نوصي أيضًا بأن تتأكد المؤسسات من تواصلها مع ممثلي CrowdStrike عبر القنوات الرسمية.
يتم تعبئة فريقنا بالكامل لضمان أمن واستقرار عملاء CrowdStrike.
نحن نتفهم خطورة الوضع ونأسف بشدة للإزعاج والتعطيل. نحن نعمل مع جميع العملاء المتأثرين لضمان عمل نسخة احتياطية من الأنظمة وقدرتهم على تقديم الخدمات التي يثق بها العملاء.
نؤكد لعملائنا أن CrowdStrike يعمل بشكل طبيعي وأن هذه المشكلة لن تؤثر على أنظمة منصة Falcon الخاصة بنا. إذا كانت أجهزة الكمبيوتر لديك تعمل بشكل طبيعي وتم تثبيت Falcon Sensor، فلن يتم المساس بأمانها.
يوجد أدناه أحدث تنبيه فني لـ CrowdStrike، ومزيد من المعلومات حول المشكلة، والإجراءات العلاجية التي يمكن للمؤسسات اتخاذها. سنستمر في تقديم التحديثات لمجتمعنا وصناعتنا عندما تصبح متاحة.
ملخص
تفاصيل
- تشمل أعراض المضيفين الذين يواجهون خطأً في التحقق من الأخطاء/خطأ في الشاشة الزرقاء مرتبطًا بمستشعر الصقر ما يلي:
- نظرًا لأنه تم تعديل ملف قناة المشكلة، فلا يلزم اتخاذ أي إجراء لمضيفي Windows غير المتأثرين.
- ولا يتأثر أيضًا مضيفو Windows الذين تم جلبهم عبر الإنترنت بعد الساعة 0527 بالتوقيت العالمي
- لا تؤثر هذه المشكلة على الأجهزة المضيفة التي تعمل بنظام التشغيل Mac أو Linux
- تم إرجاع ملف القناة “C-00000291*.sys” بالطابع الزمني 0527 UTC أو إصدار أحدث (جيد).
- الإصدار الذي به مشكلات هو ملف القناة “C-00000291*.sys” ذو الطابع الزمني 0409 UTC.
- ملاحظة: من الطبيعي أن يكون لديك ملفات “C-00000291*.sys” متعددة في دليل CrowdStrike – طالما أن أحد الملفات الموجودة في المجلد يحتوي على طابع زمني 0527 بالتوقيت العالمي أو أحدث، فهو محتوى نشط.
العمل الحالي
- لقد حددت شركة CrowdStrike Engineering نشر المحتوى المرتبط بهذه المشكلة وقامت بتنفيذ هذه التغييرات.
- إذا كان المضيفون لا يزالون معطلين ولا يمكنهم الاتصال بالإنترنت لتلقي تغييرات ملف القناة، فيمكنك استخدام خطوات الحل أدناه.
- نحن ملتزمون لعملائنا يعمل CrowdStrike بشكل طبيعي ولا تؤثر هذه المشكلة على أنظمة منصة Falcon الخاصة بنا. إذا كانت أجهزة الكمبيوتر لديك تعمل بشكل طبيعي وتم تثبيت Falcon Sensor، فلن يتم المساس بأمانها. ولم تتأثر خدمات Falcon Complete وFalcon OverWatch بالحادث.
استعلام لتحديد المضيفين المصابين من خلال البحث المتقدم عن الأحداث
يرجى الاطلاع على مقالة قاعدة المعارف هذه: كيفية تحديد المضيفين المعرضين لتعطل Windows (pdf) أو قم بتسجيل الدخول لعرض بوابة الدعم.
مقالات الاسترداد التلقائي:
يرجى الاطلاع على هذه المقالة: الاسترداد التلقائي من الشاشة الزرقاء على مثيلات Windows على GCP (pdf) أو قم بتسجيل الدخول لعرض بوابة الدعم.
خطوات الحل للمضيفين الفرديين:
- أعد تشغيل المضيف لمنحه فرصة تنزيل ملف القناة المعدل. نوصي بشدة بوضع المضيف على شبكة سلكية (بدلاً من Wi-Fi) قبل إعادة التشغيل، حيث سيتلقى المضيف اتصالاً بالإنترنت بشكل أسرع بكثير عبر Ethernet.
- إذا تعطل المضيف مرة أخرى، فحينئذٍ:
- قم بتشغيل Windows في الوضع الآمن أو بيئة استرداد Windows
- ملاحظة: يمكن أن يساعد وضع المضيف على شبكة سلكية (بدلاً من شبكة Wi-Fi) واستخدام الوضع الآمن مع الاتصال بالشبكة في استكشاف الأخطاء وإصلاحها.
- انتقل إلى الدليل %WINDIR%\System32\drivers\CrowdStrike
- ملاحظة: في WinRE/WinPE، انتقل إلى الدليل Windows\System32\drivers\CrowdStrike الخاص بوحدة تخزين نظام التشغيل
- ابحث عن الملف المطابق “C-00000291*.sys” وقم بحذفه.
- قم بتشغيل المضيف بشكل طبيعي.
- ملاحظة: قد تتطلب الأجهزة المضيفة المشفرة بواسطة BitLocker مفتاح استرداد.
خطوات الحل للسحابة العامة أو البيئة المشابهة بما في ذلك الافتراضية:
الخيار 1:
- قم بفصل وحدة تخزين قرص نظام التشغيل عن الخادم الظاهري المتأثر
- قم بإنشاء لقطة أو نسخة احتياطية لحجم القرص قبل المتابعة كإجراء وقائي ضد التغييرات غير المقصودة.
- قم بإرفاق/تركيب الوحدة على الخادم الظاهري الجديد
- انتقل إلى الدليل %WINDIR%\System32\drivers\CrowdStrike
- ابحث عن الملف المطابق “C-00000291*.sys” وقم بحذفه.
- افصل وحدة التخزين عن الخادم الظاهري الجديد
- أعد توصيل وحدة التخزين الثابتة بالخادم الظاهري المتأثر
الخيار 2:
- ارجع إلى لقطة قبل الساعة 0409 بالتوقيت العالمي.
الوثائق الخاصة بـ AWS:
البيئات الزرقاء:
وصول المستخدم إلى مفتاح الاسترداد في البوابة الإلكترونية في العمل
مع تمكين هذا الإعداد، يمكن للمستخدمين استرداد مفتاح استرداد BitLocker من بوابة Workplace ONE دون الاتصال بمكتب المساعدة للحصول على المساعدة. اتبع الخطوات التالية لتمكين مفتاح الاسترداد في بوابة Workspace ONE. يرجى الاطلاع على هذا مقال أومنيسا للمزيد من المعلومات.
إدارة تشفير Windows عبر Tanium
استرداد BitLocker عبر Citrix
كيلوبايت المتعلقة باسترداد BitLocker:
مصادر إضافية:
“اللاعبون. معلمو Twitter المؤسفون. رواد الزومبي. عشاق الإنترنت. المفكرون المتشددين.”