Microsoft đã phát hành một công cụ phục hồi WinPE tùy chỉnh để tìm và xóa bản cập nhật CrowdStrike bị lỗi khiến khoảng 8,5 triệu thiết bị Windows bị sập vào thứ sáu tuần trước.
Vào thứ sáu, CrowdStrike đã phát hành bản cập nhật lỗi khiến hàng triệu thiết bị Windows trên toàn thế giới đột nhiên gặp sự cố với “Màn hình xanh chết chóc” (BSOD) và khởi động lại liên tục.
Vấn đề này gây ra sự cố ngừng hoạt động CNTT nghiêm trọng, khi các công ty đột nhiên phát hiện rằng tất cả các thiết bị Windows của họ không còn hoạt động nữa. Sự cố này ảnh hưởng đến các sân bay, bệnh viện, ngân hàng, công ty và cơ quan chính phủ trên toàn thế giới.
Để giải quyết bản sửa lỗi, quản trị viên cần khởi động lại các thiết bị Windows bị ảnh hưởng vào Safe More hoặc Recovery Environment và xóa thủ công kernel driver bị lỗi khỏi thư mục C:\Windows\System32\drivers\CrowdStrike.
Tuy nhiên, vì các tổ chức phải đối mặt với hàng trăm/hàng nghìn thiết bị Windows bị ảnh hưởng nên việc thực hiện sửa lỗi theo cách thủ công có thể gặp nhiều vấn đề, tốn thời gian và khó khăn.
Nhằm hỗ trợ giải quyết vấn đề này, Microsoft đã phát hành một công cụ phục hồi tùy chỉnh giúp tự động xóa bản cập nhật CrowdStrike lỗi khỏi các thiết bị Windows để chúng có thể khởi động lại bình thường.
"Để giải quyết sự cố liên quan đến CrowdStrike Falcon agent ảnh hưởng đến máy khách và máy chủ Windows, chúng tôi đã phát hành một công cụ USB để giúp đẩy nhanh quá trình sửa chữa", bản tin hỗ trợ của Microsoft cho biết.
"Bạn có thể tìm thấy Công cụ khôi phục Microsoft đã được xác minh (signed) trong Trung tâm tải xuống của Microsoft tại https://go.microsoft.com/fwlink/?linkid=2280386."
Để sử dụng công cụ khôi phục của Microsoft, bạn cần có máy khách Windows 64-bit có dung lượng tối thiểu 8 GB, quyền quản trị trên thiết bị này, ổ USB có dung lượng lưu trữ tối thiểu 1 GB và khóa khôi phục Bitlocker nếu cần.
Lưu ý rằng bạn sẽ cần ổ đĩa flash USB có dung lượng 32GB hoặc nhỏ hơn, nếu không bạn sẽ không thể định dạng nó bằng FAT32, định dạng bắt buộc để khởi động ổ đĩa.
Công cụ khôi phục được tạo thông qua tập lệnh PowerShell tải xuống từ Microsoft, cần chạy với quyền quản trị (Administrative). Khi chạy, nó sẽ định dạng ổ USB và sau đó tạo WinPE image tùy chỉnh, được sao chép vào ổ đĩa và có thể khởi động.
Sau đó, bạn có thể khởi động thiết bị Windows bị ảnh hưởng bằng khóa USB và nó sẽ tự động chạy tập lệnh có tên CSRemediationScript.bat. Tệp này sẽ nhắc bạn nhập khóa khôi phục Bitlocker cần thiết, có thể được lấy lại bằng các bước sau.
Sau đó, tập lệnh sẽ tìm kiếm CrowdStrike kernel driver bị lỗi trong thư mục C:\Windows\system32\drivers\CrowdStrike và tự động xóa nó nếu phát hiện.
Khi hoàn tất, tập lệnh sẽ nhắc bạn nhấn phím bất kỳ và thiết bị của bạn sẽ khởi động lại.
Lúc này driver CrowdStrike đã bị xóa, thiết bị sẽ khởi động lại vào Windows và có thể sử dụng lại.
Tuy nhiên, trở ngại lớn nhất đối với quản trị viên Windows là việc lấy lại khóa khôi phục Bitlocker. Do đó, việc xác định xem có cần thiết hay không và khôi phục nó nên là những bước đầu tiên cần thực hiện trước khi cố gắng khôi phục thiết bị.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Những kẻ tấn công đang lợi dụng sự gián đoạn kinh doanh nghiêm trọng do bản cập nhật lỗi của CrowdStrike vào thứ sáu vừa qua để nhắm vào các công ty.
Tín nhiệm mạng | Một thành phần lỗi trong bản cập nhật CrowdStrike Falcon mới nhất đã làm sập hệ thống Windows, ảnh hưởng đến nhiều tổ chức và dịch vụ trên toàn thế giới, bao gồm sân bay, đài truyền hình và bệnh viện.
Tín nhiệm mạng | Cisco đã khắc phục một lỗ hổng nghiêm trọng cho phép kẻ tấn công thêm người dùng mới có quyền root và làm ngoại tuyến các thiết bị Security Email Gateway (SEG) bằng cách sử dụng email có tệp đính kèm độc hại.
Tín nhiệm mạng | Cisco đã khắc phục một lỗ hổng có điểm nghiêm trọng tối đa cho phép kẻ tấn công thay đổi mật khẩu của bất kỳ người dùng nào trên các máy chủ cấp phép Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) dễ bị tấn công, bao gồm cả quản trị viên.
Tín nhiệm mạng | CISA đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến OSGeo GeoServer GeoTools vào danh mục Các lỗ hổng bị khai thác đã biết.
Tin tặc đang lạm dụng các trang kinh doanh và quảng cáo trên Facebook để phát tán các chủ đề (theme) Windows giả mạo nhằm lừa người dùng tải xuống phần mềm độc hại đánh cắp mật khẩu SYS01.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
