CrowdStrike更新导致蓝屏事件

最新推荐文章于 2024-10-11 13:16:42 发布
原创 最新推荐文章于 2024-10-11 13:16:42 发布 · 2.7k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CrowdStrike #CrowdStrike蓝屏 #蓝屏事件

1. 事件描述

网络上发现大量企业Windows系统主机出现BSOD(Bluescreen of Death)并循环重启。

观察蓝屏信息,发现造成蓝屏的程序均是csagent.sys,该程序为CrowdStrike终端安全软件组件。

经确认,CrowdStrike是造成本次大面积Windows系统BSOD的原因。

2. CrowdStrike官方信息

CrowdStrike发布声明称:“安全终端中的Falcon Sensor猎鹰传感器导致Windows系统冲突从而引起系统蓝屏状态。”

声明链接地址(该链接需要CrowdStrike账号访问):https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19

声明见下图4 / 5 

3. 问题自查
3.1. 方法一

请检查是否存在以下CrowdStrike产品:

⚫ Falcon Endpoint Protection

◼ Falcon Pro: 包括Falcon Prevent、Falcon X等附加组件

◼ Falcon Enterprise: 增加Falcon Insight

◼ Falcon Premium: 包含Falcon Prevent、Falcon Insight和Falcon Discover

◼ Falcon Complete

⚫ 云工作负载保护

◼ Falcon Cloud Workload Protection (CWP)

◼ Falcon Horizon

⚫ 身份保护

◼ Falcon Identity Protection

⚫ 威胁情报和响应◼ Falcon X

◼ Falcon OverWatch

◼ Falcon Forensics

⚫ 其他服务◼ Falcon Spotlight

◼ Falcon Device Control

◼ Falcon Firewall Management

3.2. 方法二

若发现BSOD(蓝屏死机),请检查告警是否与csagent.sys有关(BSOD底部)。

BSOD及程序信息见下图5 / 5 

4. 临时处置办法

 4.1. 官方临时解决方案

若发现存在BSOD情况,且确认为csagent.sys造成,则可通过以方案进行临时修复。

CrowdStrike官方Workaround见下图

翻译如下:

1. 将Windows 启动到安全模式或Windows 恢复环境;

2. 导航到C:\Windows\System32\drivers\CrowdStrike 目录;

3. 找到匹配“C-00000291*.sys”的文件,并将其删除;

4. 正常启动主机。

4.2. 其他方法(非官方)

1. 将Windows 启动到安全模式或Windows 恢复环境;

2. 将CrowdStrike 文件夹C:\windows\system32\drivers\crowstrike 重命名为其他名称;

3. 正常启动主机。

5. 其他补充信息(Bitlocker相关)

若使用了Bitlocker对磁盘进行加密,则安全模式无法看到CrowdStrike文件夹。

此时需要通过AAD中的Bitlocker恢复密钥先对磁盘进行解锁。

解决CrowdStrike软件导致windows电脑的蓝屏死机的问题
tableconvert.com
07-19 2942
今天,全球范围内出现的蓝屏问题引起了广泛关注,其根本原因被确认与CrowdStrike的软件有关。具体来说,CrowdStrike代理(csagent.sys)引发了“WIN32K_POWER_WATCHDOG_TIMEOUT”错误,导致系统崩溃并出现蓝屏。这一问题给众多依赖CrowdStrike网络安全解决方案的组织带来了严重的中断,迫切需要寻找有效的解决办法。
如何利用WinPE快速修复Windows CrowdStrike 蓝屏、引导失败问题
weixin_41446370的博客
07-20 2631
运行CrowdStrike的Windows计算机近期更新导致蓝屏且进入"恢复"循环而无法启动,的系统会警告说,您可以选择"重新启动我的 PC"或"查看高级修复选项",以获得故障排除工具和高级选项。在一份支持文件中,CrowdStrike 证实了这些报告,并提供了多种变通办法,但当你的组织中有成百上千个系统时,目前的解决方案可能无济于事。在本指南中,我们将使用PXE 启动方法。系统将启动进入 WinPE,并自动执行 startnet.cmd 中的命令,删除有问题的 C-00000291*.sys 文件。
由恶劣事件: CrowdStrike发布案例更新导致微软全球蓝屏事件的启示
iihero@优快云
07-27 1044
网络安全公司 CrowdStrike周四发布软件更新后,机场、银行、证券交易所、911 服务、交通系统、酒店、新闻媒体、医院、紧急服务等开始出现臭名昭著的蓝屏死机 (BSOD)。在看似多年来最严重的 IT 中断中,大规模的网络安全软件问题正在全球范围内造成混乱。漂亮的蓝屏(1)耀眼的蓝屏2看起来是这样的,壮不壮观?似乎最后的元凶也找到了。居然是刚入职的第一天,就做成了这个壮举。一个字:“服!” 太牛气了。看来,Crowdstrike公司对这位新员工是无比的信任啊。
突发:CrowdStrike导致Win10用户大面积蓝屏故障,原因如下(附修复措施)
韩束一叶子
07-27 1874
7月19号,由于CrowdStrike更新导致安装了CrowdStrike的Win10系统奔溃且无法启动。根据目前网络上的消息,此次问题已经导致全球大量的机场、公司、银行和政府办公室出现大规模中断。看起来 Windows 未正确加载。如果您想重新启动并重试,请选择下面的重新启动我的电脑。
Windows全球大范围蓝屏CrowdStrike 安全更新Bug问题
qq_45110186的博客
07-22 1876
2024年7月18日,一次由CrowdStrike发布的内容更新导致了许多运行Windows操作系统的设备出现蓝屏(BSOD)问题。这次更新主要影响了安装了CrowdStrike Falcon传感器的Windows设备。更新内容中包含的一个无效格式的.sys文件引发了核心驱动程序的崩溃,导致设备无法正常启动。
微软大规模蓝屏事件:技术故障引发的连锁反应
czl922的博客
07-23 1606
2024年7月中旬,全球范围内的微软Windows系统电脑遭遇了一场史无前例的大规模蓝屏事件,这一事件迅速蔓延并影响了多个国家的关键行业,包括交通、医疗、金融、媒体等。事件的核心在于CrowdStrike的安全软件更新,该更新影响到了约850万台Windows设备,尽管这部分设备仅占所有Windows设备的极小比例,但其影响却极为广泛。
Windows蓝屏事件后,虚假CrowdStrike开始钓鱼
FreeBuf_的博客
07-22 626
涉及分发的名为“crowdstrike-hotfix.zip”的 ZIP 存档文件中包含一个名为 Hijack Loader(又名 DOILoader 或 IDAT Loader)的恶意软件加载程序,该加载程序反过来启动 Remcos RAT 有效载荷。这些电子邮件包括一份虚假更新的PDF说明,以及从文件托管服务下载恶意ZIP存档的链接。此ZIP文件包含一个名为“Crowdstrike.exe”的可执行文件,该文件一旦执行,数据擦除器将被提取到 %Temp% 下的文件夹,并启动执行数据擦除操作。
如何修复 Windows 10 /11上 CrowdStrike 导致蓝屏死机问题
念舒C.ying
10-11 646
其 Falcon 平台是一种统一的、云交付的安全解决方案,旨在防止所有类型的攻击,包括恶意软件等。然而,Windows 上 Falcon Sensor 代理的最新更新引发了一个严重问题:蓝屏死机 (BSOD) 启动循环导致受影响的系统无法使用。向用户发送的警报确认他们知道与 Falcon Sensor 相关的 Windows 主机崩溃,特别是错误检查/蓝屏错误。不幸的是,恢复陷入 BSOD 启动循环的 Windows PC 的官方解决方案仍然难以捉摸。有几种解决方法可以解决此问题,请阅读下文。
微软蓝屏事件揭秘:有问题的数据引发内存读取越界
wuzhenben的博客
08-08 1696
这篇文章揭秘了微软蓝屏事件的根本原因,深入解析了内存读取越界的概念和危害,帮助读者了解程序崩溃的技术细节及其预防方法。
关于CrowdStrike 使 Windows 蓝屏死机,你需要知道的都在这里
smellycat000的专栏
07-20 406
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士一觉醒来,全球IT大宕机,应急服务、航空旅行、银行等各行各业无不受其影响。该宕机事件被指和网络安全公司 CrowdStrike 向客户推送的一次有缺陷的自动安全更新有关。纵观历史,一行代码不断破坏全球计算机系统的事情仅发生过少数几次,包括2003年的 Slammer 蠕虫事件、俄罗斯针对乌克兰的 NotPetya 网络攻击事件、朝鲜的自传播勒索软...
联蔚盘云积极应对Crowd Strike软件引发的Windows系统蓝屏问题,携手客户伙伴快速恢复业务运行
联蔚盘云的博客
07-19 476
7月19日下午,全球多个地区的Windows用户在使用Crowd Strike网络安全软件后,遭遇了系统蓝屏的问题。至消息发布时刻的 crowd strike仍未有明确官宣稳定的版本,用户需注意创建新的Windows VM中包含crowd strike的镜像可能仍会造成影响。联蔚盘云将继续秉承“以客户为中心”的服务理念,深化与客户的合作关系,共同应对各种挑战,推动业务持续发展。备份该文件后,尝试将其删除。如果删除文件后问题依旧,考虑卸载Crowd Strike软件,或回滚到之前的稳定版本。
如何修复 CrowdStrike 蓝屏错误 Windows 11
weixin_41446370的博客
07-21 1519
如果您的 PC 出现 BSoD 错误,您不是唯一一个,但这里有一个解决方法来缓解该问题。如果您有一台运行 Windows 11(或 10)的计算机使用 CrowdStrike 的 Falcon Sensor 应用程序连接到组织,并且遇到蓝屏死机 (BSoD) 错误,那么您不是唯一一个。在本指南中,我将解释解决此问题的简单解决方法。2024 年 7 月 19 日,全球 Windows 用户经历了可能是有史以来最具历史意义的网络中断。
Windows全球大范围蓝屏CrowdStrike 安全更新问题
简简单单Onlinezuozuo
07-20 816
2024年7月19日,微软(MSFT,股价440.37美元,市值3.3万亿美元)公司旗下部分应用和服务出现访问延迟、功能不全或无法访问问题。
[紧急!!!]20240719全球Windows10/11蓝屏问题,CrowdStrike导致的错误解决方案
PianoboyRichardX的博客
07-21 1351
通过各路新闻已经可以确认的是,7月19号发生的全球范围内大量WindowsOS电脑的蓝屏死机问题导致航班邮轮火车等停运问题,以及公司暂停工作业务问题都是由CS(CrowdStrike)软件升级造成的。以上就是今天要讲的内容,本文仅仅简单介绍了CrowdStrike的解决方式欢迎大家交流~~~1.全球蓝屏波及诸多行业2.波动导致网安CS软件和微软股价跌落。
CrowdStrike 导致的 Windows BSOD 灾难的技术细节 导致此次熔毁的技术细节
iCloudEnd的博客
07-22 1173
CrowdStrike 是一家非常受欢迎的美国计算机安全服务公司,其产品名为 falcon,安装在很多机器上,尤其是 Windows。他们发布了一个补丁,通过互联网更新其软件,该补丁于 2024 年 7 月 19 日广泛推出。此补丁导致运行 Windows 的机器无法正确启动,并显示臭名昭著的“死机蓝屏”(BSOD )。由于这是启动阶段本身的问题,因此需要各个组织的 IT 专业人员将每台 Windows 机器物理启动到安全模式并删除通道文件(有关此问题的更多详细信息见下文),以便系统再次正常启动。
我们仔细分析了使数百万Windows 蓝屏死机的CrowdStrike代码
smellycat000的专栏
07-24 379
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士上周,杀毒厂商 CrowdStrike 为使用广泛的 Falcon 平台发布更新导致全球微软设备崩溃。该事件影响广泛。供应链公司 Interos 估测CrowdStrike 和微软的674620名直接企业客户关系受影响。微软表示850万台 Windows 机器无法运作。除了投入大量的IT修复时间外,大规模的 Windows 系统崩溃导致全球航空...
记一次蓝屏日志
Java.慈祥
08-26 2664
虽然说,我是一个在职两年半的程序员,但是对于这个问题其实也和大部分人一样,一脸懵逼🤖那是一个风和日丽的早上,w开开心心去上班摸鱼🐟,突然发现今天的电脑巨卡无比,难道是我很长时间没有关机导致的?正准备重启⚙️,给休息休息💤,结果突然就启动不了接着就是:蓝蓝蓝🟦~ 完犊子了好兄弟罢工了,😥在经过一些列的悉心关照,好兄弟是起起伏伏的硬了几次,最后直接摆烂,难道是最近七夕🎋没陪它生气🤯❗❗啊,我还有好多资料📑快起来,别摆烂啊😥,w 心里咯噔〰️,立刻给好兄弟抱着到空旷地方,做一套全身体检(清灰+硬
微软全球系统蓝屏根源与警示
存储随笔
07-19 1949
本次事件是一次由CrowdStrike软件更新引发的全球性IT问题,主要影响运行Windows操作系统的机器。CrowdStrike是一家知名的美国网络安全公司,其产品Falcon Sensor旨在保护云工作负载和终端安全,防止黑客攻击和系统中断。然而,这次故障反而是由Falcon Sensor的一个内容更新导致,表现为受影响的Windows设备出现蓝屏死机(BSoD)现象,影响范围广泛,包括但不限于企业、航空公司、银行、股票交易所、电视网络和医疗服务体系。
电脑强制更新蓝屏了怎么办
最新发布
06-27
### 问题分析 Windows 强制更新后出现蓝屏,通常与系统更新过程中引入的驱动程序冲突、文件损坏或硬件兼容性问题有关。此类情况在近期某些全球性事件中尤为常见,例如 CrowdStrike 驱动导致的大规模蓝屏现象[^2]。 ### 解决方法 #### 1. 安全模式卸载问题驱动 如果蓝屏是由于特定驱动程序(如 CrowdStrike)引起的,建议进入安全模式进行卸载: - **进入安全模式**:重启计算机,在启动时不断按 F8 键尝试进入高级启动选项,选择“安全模式”或“带网络连接的安全模式”。 - **卸载驱动**:打开设备管理器,找到相关设备条目,右键点击并选择“卸载设备”,勾选“删除此设备的驱动程序软件”(如果可用)[^2]。 #### 2. 使用系统还原点恢复 如果系统在更新前创建了还原点,可以通过以下方式恢复到更新前的状态: - 按 `Win + R` 打开运行窗口,输入 `rstrui.exe` 并回车。 - 按照向导选择一个还原点,将系统恢复到蓝屏发生之前的状态。 #### 3. 检查内存和硬盘健康状态 硬件故障也可能导致蓝屏,尤其是内存模块不稳定或硬盘扇区损坏: - **检查内存**:使用 Windows 内存诊断工具(`mdsched.exe`)检测内存问题。 - **检查硬盘**:以管理员身份运行命令提示符,输入 `chkdsk /f /r` 命令扫描并修复磁盘错误。 #### 4. 更新或回滚驱动程序 有时蓝屏是由于驱动程序不兼容引起: - 在设备管理器中找到可能有问题的设备(如显卡、网卡等),右键选择“更新驱动程序”或“回滚驱动程序”。 #### 5. 使用 DISM 和 SFC 工具修复系统文件 系统文件损坏可能导致蓝屏,可使用以下命令修复: ```cmd # 使用 DISM 工具修复系统映像 DISM /Online /Cleanup-Image /RestoreHealth # 使用 SFC 扫描并修复系统文件 sfc /scannow ``` #### 6. 禁用自动更新(临时) 为了避免再次因强制更新导致蓝屏,可以暂时禁用 Windows 自动更新服务: - 按 `Win + R` 输入 `services.msc` 回车。 - 找到 `Windows Update` 服务,右键选择“属性”。 - 将“启动类型”改为“禁用”,然后点击“停止”按钮关闭服务。 --- ### 注意事项 - 在执行任何系统更改前,请确保备份重要数据。 - 如果操作系统为企业环境,建议联系 IT 管理员确认是否有特定策略或流程限制。 - 若上述方法无效,考虑使用 Windows 安装介质进行修复安装或重置系统。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huainian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值