Wie getroffen is door de defecte update van CrowdStrike Falcon Sensor, kan intussen terecht op een hub-pagina waar CrowdStrike alle relevante informatie voor het herstel van systemen verzameld. Ondanks alle info blijft er veel manueel werk nodig.
CrowdStrike bundelt alle informatie rond herstel van getroffen systemen in de Remediation And Guidance Hub: een portaalsite waar slachtoffers van de destructieve update van Falcon Sensor terecht kunnen voor alle relevante tips en procedures.
lees ook
Crowdstrike-update sloopt Windows-pc’s wereldwijd, hinder voor NMBS en Brussels Airport
Op de portaalsite plaatst CrowdStrike eerst en vooral excuses van zijn CEO. Verder vind je er de technische details van de bug. Een automatische oplossing voor systemen in een bootloop is er helaas niet.
CrowdStrike werkte wel met Microsoft samen voor een herstel-USB-stick. Via het portaal vind je instructies over hoe je die moet aanmaken. Door op een getroffen host te booten van die stick, worden de bestanden die de oorzaak zijn van de bug automatisch verwijderd.
Bitlocker
Alleen: vooraleer de stick kan werken, moeten beheerders getroffen systemen met Bitlocker actief ontgrendelen door de lange unieke Bitlocker-sleutel in te geven. Zelfs met de stick is er voor herstel dus nog heel wat manuele invoer vereist. CrowdStrike zet in het portaal links naar waar die Bitlocker-keys precies staan.
De bug impacteert ook virtuele machines en ook die moeten hersteld worden. De eenvoudigste manier is om de VM’s te herstellen naar een snapshot van voor CrowdStrike de onvoldoende geteste update uitrolde, maar je kan VM’s ook manueel herstellen.
Systemen met Intel vPro en Intel Active Management Technology kunnen vanop afstand hersteld worden. Dat kan het proces significant vereenvoudigen, al moeten beheerders ook hier voor ieder getroffen en versleuteld systeem de BitLocker-key ingeven.
CrowdStrike probeert transparant te communiceren over het probleem, en benadrukt dat de storing geen cyberaanval is. De systemen van CrowdStrike werken verder naar behoren, dus klanten blijven beschermd tegen aanvallers.
Ongeteste update
CrowdStrike rolde vrijdag een niet of onvoldoende geteste update automatisch uit naar alle systemen met daarop Falcon Sensor. De update werd op de achtergrond geïnstalleerd, en maakte Windowscomputers en -servers stuk. Getroffen toestellen raken vast in een opstartloop met bijhorend Blue Screen of Death.
CrowdStrike stopte de (niet gefaseerde) uitrol van de destructieve update maar te laat. Naar schatting 8,5 miljoen systemen wereldwijd zijn getroffen, met een immense impact in onder andere de internationale luchtvaartsector.