本文是 Crowdstrike官方博客公告，详情见Statement on Falcon Content Update for Windows Hosts^[1] 。

受该BUG影响主机为Windows主机，Linux不受影响。这不是微软的锅，而是Crowdstrike的锅，不过呢，微软也不能全甩干净，谁让自己没能很好的验证、限制驱动的功能，从而规避风险呢？

在国外微博X上，很多网友提到Linux版本的Falcon内核层相关感知功能，实现机制从LKM改为eBPF^[2]实现，借助于eBPF验证器，可以规避很多低级问题。Windows上也有eBPF （eBPF for Windows^[3]），只是功能不太完善，这或许会推动eBPF在Windows上的快速发展起来。我们拭目以待吧。

CrowdStrike正在积极与受单个Windows主机内容更新缺陷影响的客户合作。Mac和Linux主机不受影响。这不是一起安全事件或网络攻击。

问题已识别、隔离并已部署修复。我们建议客户访问支持门户以获取最新更新，并将继续在我们的网站上提供完整和持续的更新。

我们进一步建议组织通过官方渠道与CrowdStrike代表进行沟通。

我们的团队已全面 mobilized，以确保CrowdStrike客户的安全和稳定。

更新时间：2024年7月19日东部时间上午9:22：

我们正在努力以尽可能快的速度与全球客户提供全面和持续的更新。以下是关于此问题的最新CrowdStrike技术警报以及组织可以采取的解决步骤。我们会在获取新信息时及时更新此页面。

摘要

• CrowdStrike注意到有关Windows主机上与Falcon传感器相关的崩溃报告。

详情

• 症状包括主机出现与Falcon传感器相关的bugcheck（蓝屏）错误。
• 未受到影响的Windows主机不需要采取任何行动，因为有问题的通道文件已被恢复。
• 在0527 UTC之后上线的Windows主机也不会受到影响。
• 运行Windows 7/2008 R2的主机不受影响。
• 此问题不影响基于Mac或Linux的主机。
• 时间戳为0527 UTC或更晚的通道文件"C-00000291*.sys"是恢复后的（良好）版本。
• 时间戳为0409 UTC的通道文件"C-00000291*.sys"是有问题的版本。

当前行动

• CrowdStrike工程团队已识别与此问题相关的内容部署并已恢复这些更改。
• 如果主机仍然崩溃且无法保持在线状态以接收通道文件更改，可以使用以下步骤来解决此问题：

单个主机的解决步骤：

• 重新启动主机，以便其有机会下载恢复后的通道文件。如果主机再次崩溃，则：

• 将Windows启动到安全模式或Windows恢复环境。

• 注意：将主机连接到有线网络（而不是WiFi）并使用安全模式与网络可以帮助修复。

• 导航到%WINDIR%\System32\drivers\CrowdStrike目录。

• 找到与“C-00000291*.sys”匹配的文件，并将其删除。

• 正常启动主机。

注意：BitLocker加密的主机可能需要恢复密钥。

公共云或类似环境（包括虚拟）的解决步骤：

选项1：

• 从受影响的虚拟服务器中分离操作系统磁盘卷。
• 作为对意外更改的预防，创建磁盘卷的快照或备份，然后再继续。
• 将卷附加/挂载到新虚拟服务器。
• 导航到%WINDIR%\System32\drivers\CrowdStrike目录。
• 找到与“C-00000291*.sys”匹配的文件，并将其删除。
• 从新虚拟服务器分离该卷。
• 将修复后的卷重新附加到受影响的虚拟服务器。

选项2：

• 回滚到0409 UTC之前的快照。

AWS特定文档：

• 将EBS卷附加到实例^[4]
• 从实例中分离Amazon EBS卷^[5]

Azure环境：

• 请参见此Microsoft文章^[6]

BitLocker恢复相关知识库：

• 在Microsoft Azure中恢复BitLocker^[7]
• 在使用SCCM的Microsoft环境中恢复BitLocker^[8]
• 在使用Active Directory和GPO的Microsoft环境中恢复BitLocker^[9]
• 在使用Ivanti Endpoint Manager的Microsoft环境中恢复BitLocker^[10]