この情報はwww.eye.securityに掲載された情報を抄訳したものです。情報は予告なく更新、削除する場合があります。
引用元:CrowdStrike Falcon blue screen issue updates (eye.security)
2024年7月19日(金)日本時間未明から発生したEDRソフトウェアであるCrowdstrike Falcon導入のマイクロソフトWindows PCでブルースクリーンで再起動ループとなる現象並びに回復方法です。
概要
CrowdStrikeは、Falcon Sensorに関連するWindowsホストでのクラッシュの報告を認識しています。
障害は、WindowsホストでFalconセンサーに関連するブルースクリーン(BSOD)が発生することがあります。
CrowdStrike社の技術部門は、日本時間13時9分(世界標準時4時9分)に公開されたこの問題に関連するコンテンツ展開の更新を特定し、それらの変更を元に戻しました。その結果、日本時間14時27分(世界標準時5時27分)以降に起動したPCでは、本問題は発生しません。なお問題は、MacベースまたはLinuxベースのホストには影響しません。
タイムスタンプによる問題識別
C:\windows\system32\drivers\crowdstrike
C-00000291*.sysが2024/07/19 13:09のタイムスタンプを持つファイル である場合は問題あり。
C-00000291*.sysが2024/07/19 14:09以降のタイムスタンプを持つファイルである場合は問題なし。
対応
(重要)システムに現在問題が発生していない場合は、CrowdStrikeをアンインストールしたり、以下の手順を実行しないでください。
回復方法
① ブルースクリーンの状態でWindowsに進むをクリックします
システムを起動してクラッシュを3回発生すると、自動的にメニューが表示されます。
② トラブルシューティングをクリックします
③ 詳細オプションをクリックします
④ コマンドプロンプトをクリックします
なお、システムがBitLockerで保護されている場合は、BitLocker回復キーを入力する必要があります。システム管理者に BitLocker 回復キーを問い合わせてください
④ コマンドプロンプトウィンドウで、次のコマンドを入力し、Enterキーを入力します。(windowsにシステムファイルがCドライブの場合)
x:\>c:
c:\>cd \windows
c:\>cd system32
c:\>cd drivers
c:\>cd crowdstrike
c:\>del C-00000291*
c:\>exit
⑤ windowsに進むをクリックしwindowsを起動します。
起動後に自動的にCrowdstrike falcon sensorの当該ファイルは更新されます。Crowdstrikeを停止する必要はありません。
なお、パブリッククラウドまたは仮想マシンの場合は原文の情報を参照ください。
CrowdStrike Falcon blue screen issue updates (eye.security)
オリジナルグッズのページ