CrowdStrikeは、昨日から発生している「CrowdStrike Falcon」を原因としたWindowsでの世界的なブルースクリーン問題について、詳細な情報と回避策を報告しています。
問題
7月19日から、「CrowdStrike Falcon」をインストールした環境において、付属するドライバを原因としたBSoDが世界規模で多発しているという問題です。
この問題が原因で、JALやJR西日本、ユニバーサル・スタジオ・ジャパン、ユナイテッド航空などの多くの企業でシステム障害が発生しました。
影響と詳細
この問題が影響するのは、Windowsのみで、LinuxとMac環境では問題は発生しないようです。また、Windows 7とWindows Server 2008 R2の環境でも問題は発生しなかったようです。
問題は、UTC 4:09(日本時間13:09)頃から発生しています。原因は、FalconプラットフォームのSensorエージェントです。具体的にはタイムスタンプが「0409 UTC」の「C-00000291*.sys」が該当します。
CrowdStrikeは、UTC 5:27(日本時間14:27)に、問題に関連するコンテンツに変更を加えられる前に戻したバージョンをリリースしました。そのため、「0527 UTC」以降のタイムスタンプの「C-00000291*.sys」が問題が解決されたバージョンということになります。
これが理由で、日本時間14:27以降に起動したシステムについても影響はありません。
一般的なWindowsでの回復方法
昨日の時点で、簡易的な回避方法については案内されていました。
- Windowsをセーフモードあるいは回復環境モードで起動する
C:\Windows\System32\drivers\CrowdStrike
ディレクトリに移動するC-00000291*.sys
と検索する- Windowsをシャットダウンしてから起動する
この手順によって、一般的なWindowsにおいては問題を回避することができました。
この手順についても若干アップデートが加わっており、セーフモード時に有線インターネットを使用し、インターネットが利用可能なセーフモードで起動すると、より修復に役立つとしています。また、再起動もシャットダウンしてから起動するように書かれています。
今回明かされたのは、クラウド環境やBitLocker環境などでの回避方法です
パブリッククラウドでの解決法
パブリッククラウドでは、問題が発生するUTC 4:09(日本時間13:09)以前のスナップショットにロールバックすることで問題が解決されます。
別の手段として、
- 影響を受ける仮想サーバからOSのディスクボリュームを切り離す
- 意図しない変更に対する予防策として、ディスクボリュームのスナップショットかバックアップを作成する
- 新しい仮想サーバーを作成し、ボリュームを新しい仮想サーバーに接続・マウントする
%WINDIR%\System32\drivers\CrowdStrike
に移動するC-00000291*.sys
を削除する- 新しい仮想サーバーからボリュームを切り離す
- 元の仮想サーバ^に再接続する
というのも案内されています。
AWSとAzure
AmazonとMicrosoftは、それぞれAWSとAzure環境で問題が発生したときの対処法を案内しています。
- Recover AWS resources affected by the CrowdStrike Falcon agent | AWS re:Post
- Recovery options for Azure Virtual Machines (VM) affected by CrowdStrike Falcon agent - Microsoft Community Hub
また、IntelはvPro環境での修正方法も案内しています。
さらに、CitrixでのBitLocker環境、TaniumによるWindows暗号化管理環境での修復方法も案内しています。