تم التحديث الساعة 9:13 مساءً بالتوقيت الشرقي، 19 يوليو 2024
تعمل CrowdStrike بنشاط مع العملاء المتأثرين بخلل تم اكتشافه في تحديث محتوى واحد لمضيفي Windows. لم يتأثر مضيفو Mac وLinux. لم يكن هذا هجومًا إلكترونيًا.
تم تحديد المشكلة وعزلها وتم نشر حل لها. نحن نحيل العملاء إلى بوابة الدعم للحصول على أحدث التحديثات وسنستمر في تقديم تحديثات عامة كاملة ومستمرة على مدونتنا.
كما نوصي المؤسسات بالتأكد من تواصلها مع ممثلي CrowdStrike عبر القنوات الرسمية.
فريقنا جاهز بالكامل لضمان أمن واستقرار عملاء CrowdStrike.
نحن ندرك خطورة الموقف ونأسف بشدة للإزعاج والاضطراب. نحن نعمل مع جميع العملاء المتأثرين لضمان عودة الأنظمة إلى العمل وقدرتها على تقديم الخدمات التي يعتمد عليها عملاؤهم.
نؤكد لعملائنا أن CrowdStrike يعمل بشكل طبيعي وأن هذه المشكلة لا تؤثر على أنظمة منصة Falcon الخاصة بنا. إذا كانت أنظمتك تعمل بشكل طبيعي، فلن يكون هناك أي تأثير على حمايتها إذا تم تركيب مستشعر Falcon.
فيما يلي أحدث تنبيه تقني من CrowdStrike مع مزيد من المعلومات حول المشكلة وخطوات الحل التي يمكن للمؤسسات اتخاذها. وسنواصل تقديم التحديثات لمجتمعنا والصناعة فور توفرها.
ملخص
تفاصيل
- تتضمن الأعراض المضيفين الذين يواجهون خطأ bugcheck\blue screen المتعلق بمستشعر Falcon.
- لا تتطلب أجهزة استضافة Windows التي لم تتأثر أي إجراء حيث تم استعادة ملف القناة المشكل.
- لن تتأثر أيضًا أجهزة استضافة Windows التي يتم توصيلها بالإنترنت بعد الساعة 0527 UTC
- لا تؤثر هذه المشكلة على الأجهزة المضيفة التي تعمل بنظام التشغيل Mac أو Linux
- ملف القناة “C-00000291*.sys” بعلامة زمنية 0527 UTC أو أحدث هو الإصدار الذي تم إرجاعه (الجيد).
- ملف القناة “C-00000291*.sys” بعلامة زمنية 0409 UTC هو الإصدار الذي يحتوي على مشكلة.
- ملاحظة: من الطبيعي وجود ملفات “C-00000291*.sys” متعددة في دليل CrowdStrike – طالما واحد إذا كان أحد الملفات الموجودة في المجلد له علامة زمنية 0527 UTC أو أحدث، فسيكون هذا هو المحتوى النشط.
الإجراء الحالي
- تمكنت CrowdStrike Engineering من تحديد نشر محتوى مرتبط بهذه المشكلة وعكس تلك التغييرات.
- إذا استمرت الأجهزة المضيفة في التعطل وعدم القدرة على البقاء متصلة بالإنترنت لتلقي تغييرات ملف القناة، فمن الممكن استخدام خطوات الحل البديل أدناه.
- نحن نؤكد لعملائنا أن يعمل CrowdStrike بشكل طبيعي ولا تؤثر هذه المشكلة على أنظمة منصة Falcon الخاصة بناإذا كانت أنظمتك تعمل بشكل طبيعي، فلن يكون هناك أي تأثير على حمايتها إذا تم تثبيت مستشعر Falcon. لا تتعطل خدمات Falcon Complete وOverWatch بسبب هذا الحادث.
استعلام لتحديد المضيفين المتأثرين عبر البحث المتقدم عن الأحداث
يرجى الاطلاع على مقالة قاعدة المعارف هذه: كيفية تحديد المضيفين الذين قد يتأثرون بتعطل نظام التشغيل Windows (ملف pdf) أو قم بتسجيل الدخول لعرض بوابة الدعم.
لوحة القيادة
على غرار الاستعلام المشار إليه أعلاه، تتوفر الآن لوحة معلومات تعرض القنوات المتأثرة ومعرفات العملاء وأجهزة الاستشعار المتأثرة. وفقًا لاشتراكاتك، تتوفر في قائمة وحدة التحكم في أي من:
- الجيل القادم من SIEM > لوحة المعلومات أو؛
- التحقيق > لوحات المعلومات
- تم تسميته باسم: hosts_possibly_impacted_by_windows_crashes
ملاحظة: لا يمكن استخدام لوحة المعلومات مع الزر “مباشر”
مقالات الاسترداد التلقائي:
يرجى الاطلاع على هذه المقالة: الاسترداد التلقائي من الشاشة الزرقاء في حالات Windows في GCP (pdf) أو قم بتسجيل الدخول لعرض بوابة الدعم.
خطوات الحل البديل للمضيفين الفرديين:
- أعد تشغيل الجهاز المضيف لإعطائه الفرصة لتنزيل ملف القناة المرتجعة. نوصي بشدة بوضع الجهاز المضيف على شبكة سلكية (بدلاً من شبكة WiFi) قبل إعادة التشغيل حيث سيتمكن الجهاز المضيف من الحصول على اتصال بالإنترنت بشكل أسرع عبر شبكة إيثرنت.
- إذا تعطل المضيف مرة أخرى، فحينئذٍ:
- قم بتشغيل Windows في الوضع الآمن أو بيئة استرداد Windows
- ملاحظة: قد يساعد وضع المضيف على شبكة سلكية (على عكس شبكة WiFi) واستخدام الوضع الآمن مع الشبكات في حل المشكلة.
- انتقل إلى الدليل %WINDIR%\System32\drivers\CrowdStrike
- يتم تعيين Windows Recovery افتراضيًا إلى X:\windows\system32
- انتقل إلى القسم المناسب أولاً (الافتراضي هو C:\)، وانتقل إلى دليل crowdstrike:
- ج:
- قرص مضغوط windows\system32\drivers\crowdstrike
- ملاحظة: في نظامي التشغيل WinRE/WinPE، انتقل إلى الدليل Windows\System32\drivers\CrowdStrike الخاص بمجلد نظام التشغيل
- حدد الملف المطابق لـ “C-00000291*.sys” ثم احذفه.
- لا حذف أو تغيير أي ملفات أو مجلدات أخرى
- التمهيد البارد للمضيف
- اغلاق المضيف.
- ابدأ المضيف من الحالة المتوقفة.
ملاحظة: قد تتطلب الأجهزة المضيفة المشفرة باستخدام BitLocker مفتاح استرداد.
خطوات الحل البديل للسحابة العامة أو البيئة المماثلة بما في ذلك البيئة الافتراضية:
الخيار 1:
- فصل وحدة تخزين قرص نظام التشغيل عن الخادم الافتراضي المتأثر
- قم بإنشاء لقطة أو نسخة احتياطية لحجم القرص قبل المتابعة كإجراء احترازي ضد التغييرات غير المقصودة
- ربط/تركيب وحدة التخزين على خادم افتراضي جديد
- انتقل إلى الدليل %WINDIR%\System32\drivers\CrowdStrike
- حدد الملف المطابق لـ “C-00000291*.sys” ثم احذفه.
- فصل وحدة التخزين عن الخادم الافتراضي الجديد
- أعد توصيل وحدة التخزين الثابتة بالخادم الافتراضي المتأثر
الخيار 2:
- العودة إلى لقطة قبل الساعة 0409 UTC.
الوثائق الخاصة بـ AWS:
بيئات Azure:
مفتاح استرداد وصول المستخدم في بوابة Workspace ONE
عند تمكين هذا الإعداد، يمكن للمستخدمين استرداد مفتاح استرداد BitLocker من بوابة Workspace ONE دون الحاجة إلى الاتصال بمركز المساعدة للحصول على المساعدة. لتشغيل مفتاح الاسترداد في بوابة Workspace ONE، اتبع الخطوات التالية. يُرجى الاطلاع على هذا مقالة أومنيسا للمزيد من المعلومات.
More Stories
أحدث حوادث غرق اليخت البايزي: زوجة مايك لينش “لم ترغب في مغادرة القارب بدون عائلتها” بينما يخضع الطاقم للتحقيق
برنامج الغذاء العالمي يوقف حركته في غزة بعد إطلاق نار متكرر على مركبة مساعدات
سمكة قرش تقطع رأس مراهق قبالة سواحل جامايكا