A Microsoft lançou uma ferramenta de recuperação WinPE personalizada para encontrar e remover a atualização defeituosa da CrowdStrike que fez com que cerca de 8,5 milhões de dispositivos Windows travassem na última sexta-feira.
Na sexta-feira(19), a CrowdStrike distribuiu uma atualização com falha que causou o travamento súbito de milhões de dispositivos Windows em todo o mundo, exibindo a tela azul da morte (BSOD) e entrando em longos ciclos de reinicialização.
Esse problema causou grandes interrupções nos serviços de TI, pois empresas descobriram de repente que todos os seus dispositivos Windows não funcionavam mais.
Essas falhas de TI afetaram aeroportos, hospitais, bancos, empresas e agências governamentais ao redor do mundo.
Para resolver o problema, os administradores precisavam reiniciar os dispositivos Windows afetados em Modo Seguro ou no Ambiente de Recuperação e remover manualmente o driver do kernel problemático da pasta C:\Windows\System32\drivers\CrowdStrike.
No entanto, como as organizações enfrentam centenas, senão milhares, de dispositivos Windows afetados, a realização manual dessas correções pode ser problemática, demorada e difícil.
Para auxiliar os administradores de TI e as equipes de suporte, a Microsoft lançou uma ferramenta de recuperação personalizada que automatiza a remoção da atualização defeituosa da CrowdStrike nos dispositivos Windows, permitindo que eles voltem a iniciar normalmente.
"Como acompanhamento ao problema do agente CrowdStrike Falcon que impactou clientes e servidores Windows, lançamos uma ferramenta USB para ajudar os Administradores de TI a acelerar o processo de reparo," informa um boletim de suporte da Microsoft.
A Ferramenta de Recuperação assinada pela Microsoft pode ser encontrada no Microsoft Download Center: https://go.microsoft.com/fwlink/?linkid=2280386.
Para usar a ferramenta de recuperação da Microsoft, a equipe de TI precisa de um cliente Windows 64-bit com pelo menos 8 GB de espaço, privilégios administrativos nesse dispositivo, um drive USB com pelo menos 1 GB de armazenamento e uma chave de recuperação Bitlocker, se necessário.
É importante observar que você precisará de um pen drive de no máximo 32GB, caso contrário, não será possível formatá-lo em FAT32, necessário para a inicialização do drive.
A ferramenta de recuperação é criada por meio de um script PowerShell baixado da Microsoft, que deve ser executado com privilégios administrativos.
Quando executado, ele formatará um drive USB e então criará uma imagem WinPE personalizada, que é copiada para o drive e tornada inicializável.
Você pode então iniciar o dispositivo Windows afetado com o pen drive, e ele automaticamente executará um arquivo batch chamado CSRemediationScript.bat.
Este arquivo batch solicitará que você insira as chaves de recuperação Bitlocker necessárias, que podem ser obtidas seguindo estes passos.
O script então procurará pelo driver kernel defeituoso da CrowdStrike na pasta C:\Windows\system32\drivers\CrowdStrike e, se detectado, o deletará automaticamente.
Os testes e a revisão do arquivo batch mostram que ele não cria nenhum log ou backup do driver CrowdStrike.
Quando concluído, o script solicitará que você pressione qualquer tecla, e seu dispositivo será reiniciado.
Agora que o driver CrowdStrike foi deletado, o dispositivo deverá iniciar novamente no Windows e estar disponível novamente.
Infelizmente, o maior obstáculo para os administradores Windows é recuperar as chaves de recuperação Bitlocker necessárias.
Portanto, determinar se uma é necessária e recuperá-la deve ser os primeiros passos antes de tentar recuperar os dispositivos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...