في يوم الجمعة من الأسبوع الماضي، تسبب تحديث CrowdStrike في ظهور أخطاء "الشاشة الزرقاء" على أنظمة ويندوز على مستوى العالم، ما أثر على النظام البيئي لشركة مايكروسوفت.
وأفادت شركة مايكروسوفت بأن هذه المشكلة أثرت على 8.5 مليون جهاز يعمل بنظام ويندوز، أي أقل من 1% من كافة الأجهزة التي تعمل بنظام ويندوز، وعلى الرغم من النسبة الصغيرة، إلا أن التعطيل أثر على الخدمات الحيوية.
وصرح ديفيد ويستون، نائب رئيس مايكروسوفت لأمن المؤسسات ونظام التشغيل، بأن مايكروسوفت كانت على اتصال مستمر مع العملاء وCrowdStrike والمطورين الخارجيين لجمع المعلومات وتسريع الحلول، لقد اتخذوا عدة خطوات:
- تم التعاون مع CrowdStrike لتطوير حل بديل وتوفير الإرشادات على مركز رسائل ويندوز.
- نشر مئات المهندسين للعمل مباشرة مع العملاء لاستعادة الخدمات.
- تم التنسيق مع موفري الخدمات السحابية الآخرين، بما في ذلك Google Cloud Platform (GCP) وAmazon Web Services (AWS)، لمشاركة الوعي بالتأثير وإرشاد المناقشات الجارية.
- نشر وثائق الحل اليدوي والبرامج النصية.
- تحديث العملاء من خلال لوحة معلومات حالة Azure.
وأكدت مايكروسوفت على جهودها المستمرة لدعم المستخدمين المتأثرين وطورت حلاً قابلاً للتطوير باستخدام CrowdStrike لتسريع الإصلاحات، كما تعاونوا أيضًا مع AWS وGCP بشأن الأساليب الفعالة، وأشار ويستون إلى أن حوادث كبيرة مثل هذه نادرة.
Recovery Tool
أصدرت مايكروسوفت أداة استرداد جديدة لمعالجة مشكلة CrowdStrike على نقاط نهاية ويندوز، وتوفر الأداة المتوفرة في مركز التنزيل لـ مايكروسوفت خيارين للإصلاح:
- الاسترداد من WinPE: يقوم بإنشاء وسائط تمهيد لتسهيل إصلاح الجهاز.
- الاسترداد من الوضع الآمن: إنشاء وسائط تمهيد لتشغيل الأجهزة المتأثرة في الوضع الآمن، مما يسمح بتسجيل الدخول باستخدام امتيازات المسؤول وتنفيذ خطوات الإصلاح.
تقوم هذه الأداة بإنشاء محرك أقراص USB قابل للتشغيل من أجل الاسترداد السريع، وتجاوز الحاجة إلى الوضع الآمن أو حقوق المسؤول، فهو يصل إلى القرص مباشرة ويحذف ملف CrowdStrike الذي به مشكلات، وإذا كان القرص محميًا بواسطة BitLocker، فسيطالبك بمفتاح الاسترداد.
وتتوفر خطوات استرداد منفصلة للأجهزة الافتراضية التي تعمل بنظام ويندوز على Azure ولجميع الأجهزة التي تعمل بنظامي التشغيل ويندوز 10 وويندوز 11 على موقع دعم مايكروسوفت.
إرشادات CrowdStrike :
قدمت CrowdStrike أيضًا إرشادات جديدة للتعامل مع انقطاع نظام التشغيل ويندوز، وتسبب تحديث مستشعر Falcon، الذي تم إصداره بين الساعة 04:09 بالتوقيت العالمي و05:27 بالتوقيت العالمي في 19 يوليو 2024، في تعطل النظام.
وأعاد CrowdStrike التحديث الإشكالي، التفاصيل الرئيسية تشمل:
- الأنظمة المتأثرة: مستشعر Falcon لنظام التشغيل ويندوز الإصدار 7.11 وما فوق.
- ملف التكوين الذي به مشكلات: "C-00000291*.sys" بطابع زمني هو 04:09 بالتوقيت العالمي المنسق.
- الملف الذي تم إرجاعه: "C-00000291*.sys" بطابع زمني هو 05:27 بالتوقيت العالمي أو ما بعده.
الأعراض: خطأ في فحص الأخطاء/خطأ في الشاشة الزرقاء يتعلق بمستشعر الصقر.
الأنظمة غير المتأثرة: الأجهزة المضيفة التي تم جلبها عبر الإنترنت بعد الساعة 05:27 بالتوقيت العالمي المنسق في 19 يوليو 2024، أو تلك التي تم تثبيتها بعد هذا الوقت.
وأكدت CrowdStrike للعملاء أن أنظمة منصة Falcon الخاصة بهم ستظل عاملة وغير متأثرة، بما في ذلك خدمات Falcon Complete وOverWatch، وقالت CrowdStrike أيضًا أن التحديثات المستمرة متاحة على بوابة دعم CrowdStrike وتحث المستخدمين على الاتصال بممثليهم للحصول على دعم إضافي.
وصرح جورج كورتز، الرئيس التنفيذي لشركة CrowdStrike، أن المشكلة كانت بسبب خلل في تحديث محتوى Falcon لمضيفي ويندوز ولم تكن هجومًا إلكترونيًا، إنهم يعملون بشكل وثيق مع العملاء المتأثرين لاستعادة الأنظمة.
