Vés enrere

Incidencia técnica con Falcon CrowdStrike en equipos Windows (actualización)

Información
Incidencia técnica con Falcon CrowdStrike en equipos Windows (actualización) 19/07/2024

Esta mañana desde el CERT del SOC de la Junta de Andalucía les hemos avisado de una una incidencia masiva a nivel mundial que afecta al correcto funcionamiento de los equipos con sistema operativo Microsoft Windows que tienen el agente de CrowdStrike instalado, independientemente de la versión del sensor. Tras las últimas novedades publicadas por la empresa CrowdStrike procedemos a actualizar la información:

  • Los equipos afectados por esta incidencia pueden experimentar la aparición de pantallas azules de error.
  • Los equipos con sistema operativo MacOS o GNU/Linux no se han visto afectados.
  • Los equipos que se encendieron y tuvieron conexión a Internet después de las 05:27 horas UTC (07:27 horas en España) no se han visto afectados.
  • Aquellos equipos que presenten un fichero C-00000291*.sys con fecha de modificación 05:27 horas UTC o posterior, no se han visto afectados.
  • Para aquellos equipos que no se han visto afectados no se requiere realizar acción alguna.

Si los equipos siguen fallando y no pueden conectarse a Internet para recibir actualizaciones con los cambios, se pueden seguir los siguientes pasos para solucionar este problema:

Para hosts individuales

  1. Iniciar Windows en modo seguro o en el entorno de recuperación de Windows.
  2. Navegar al directorio C:\Windows\System32\drivers\CrowdStrike.
  3. Localizar el archivo que coincida con “C-00000291*.sys” y eliminarlo.
  4. Iniciar el equipo normalmente.

NOTA: Aquellos equipos que usen cifrado por Bitlocker pueden requerir una clave de recuperación.

Para entornos de cloud y máquinas virtuales

OPCIÓN 1

  1. Desconectar el disco del sistema operativo del equipo afectado.
  2. Por precaución, crear un snapshot o copia de seguridad del disco.
  3. Conectar el disco a un nuevo equipo virtual.
  4. Navegar hasta la ruta %WINDIR%\\System32\drivers\CrowdStrike.
  5. Localizar el fichero C-00000291*.sys y eliminarlo.
  6. Desconectar el disco de este nuevo equipo y volverlo a conectar al antiguo.
  7. Reiniciar el equipo.

OPCIÓN 2

  1. Restaurar un snapshot previo a las 04:09 horas UTC (06:09 hora española) del 19 de julio de 2024.

Debemos indicarles que el fabricante también ha facilitado instrucciones para revertir el problema en entornos desplegados en Azure (la nube pública de Microsoft).

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.