【障害速報】ブルースクリーン(BSoD)多発:原因はCrowdStrike/解決策あり【2024/7/19】
この記事を読むのに必要な時間は約 17 分です。
目次
この記事について
CrowdStrike Falcon Sensorのアップデート由来のBSoDが多発しているようです。
現状の解決策は以下ということです。
1)WindowsをセーフモードまたはWindows回復環境で起動する。
2)C:\Windows\System32\drivers\CrowdStrikeフォルダを開く
3)C-00000291*.sysを削除する。
4)Windowsを通常モードで起動する。
出典: BSOD error in latest crowdstrike update
取り急ぎですので100%修復可能であるのかどうかなどは現状不明です。(また、手元環境でのテストも行えませんのでご了承ください)
なお、要するにCrowdStrikeの起動や動作を停止できれば良いものと考えられますので、システムの復元やアプリのアンインストール、サービスの停止などでもよいのかもしれません。
今回の記事はここまでです。
2024/7/19 21:14 情報迫記
KB5035942再配布について
MS Copilotとの問答
Q:世界的なサイバーセキュリティ企業クラウドストライクによるアップグレードが関連しており、同社はウィンドウズの更新プログラムで欠陥が見つかったとし、「サイバー攻撃ではなく問題は特定された。修正プログラムを配布している」とした。・・・とのことですが、KB5035942の再配布がそれですか?
A:はい、KB5035942の再配布は、クラウドストライクが指摘したウィンドウズの欠陥に対する修正プログラムの一部です¹²。この更新プログラムは、Windows 11の最新のセキュリティおよび機能の改善を含んでおり、特定の問題を修正するために再配布されています¹²。
ソース: Bing との会話 2024/7/19
(1) 2024 年 3 月 26 日 — KB5035942 (OS ビルド 22621.3374 …. https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-3-%E6%9C%88-26-%E6%97%A5-kb5035942-os-%E3%83%93%E3%83%AB%E3%83%89-22621-3374-%E3%81%8A%E3%82%88%E3%81%B3-22631-3374-%E3%83%97%E3%83%AC%E3%83%93%E3%83%A5%E3%83%BC-3ad9affc-1a91-4fcb-8f98-1fe3be91d8df.
(2) Windows 11 Moment 5(KB5035942)でインストール失敗や …. https://softantenna.com/blog/windows-11-moment-5-kb5035942-bsod-install-issues/.
(3) KB5035942にさまざまな不具合報告。インストールされない …. https://www.nichepcgamer.com/archives/kb5035942-issues.html.
2024/7/20 解決方法を追記
「>なお、要するにCrowdStrike Falcon Sensorの起動や動作を停止できれば良いものと考えられますので、システムの復元やアプリのアンインストール、サービスの停止などでもよいのかもしれません。」の部分なのですが、手元で検証することができませんのでMS Copilotに質問してみたところ可能であるようです。
過去の、カスペルやESET等でのOS起動不能の際の挙動を考えても、以下の方法でのOS起動や、回復操作はできる可能性が高いです。
※ 実機での検証はしていません。あくまでMS Copilotの回答と過去の事例を参考にしています。実行不可能な案が記載されていた場合はご容赦願います。
※ PCのF8キーで回復環境が起動できない場合は、回復ドライブやOSインストールディスクから回復環境を起動します。なお、NECさんのPCの一部のように一度BIOS設定画面を経由して回復環境の起動ができる仕組みになっている場合があります。
※ になっている環境では、起動時のF8キーの操作で回復環境を開くことはほぼ100%無理です。高速スタートアップが有効状態の方は、回復ドライブやOSインストールディスクから回復環境を起動するようにしてください。なお、複数回の強制電源断を実行することで回復環境オプションを表示させることは極力避けるようにしてください。また、機材によってはF8キーがブートメニューなど異なる機能に割り当てられているものもありますので注意が必要です。
※ PCが通常起動できましたら、KB5035942の再配布分を適用してください。(自動適用される場合もあるようです。更新の履歴のその他の更新プログラムの項目で確認してくださいね。なお、現状7/20に配布後7/21に修正版と考えられるものが再度配布されています。日付も確認してくださいね。
起動について
・Windowsをセーフモードでなら起動できるケースが大多数。
・セーフモードでの起動が可能な場合は、システム構成(msconfig)で、診断スタートアップないしはMS以外のサービスを全て停止した状態での起動ができる可能性が高い。
・Windows回復環境が利用可な場合は、回復環境経由で起動オプション(システムの復元やcmd)を選択することも可能。(OSが起動しない場合でもOK)
回復方法
1)セーフモードでの起動はできる場合
・たぶんイチオシの方法・・・システムの復元で以前の状態に戻す事でも起動可能なケースが多いと考えられます。可能なようでしたら、復元後にCrowdStrike Falcon Sensorの当該アップデートは適用しないでPCを運用し、対策が出揃った後にアップデートを行う。
・Windowsをセーフモードで起動できる場合 ⇒ 当初提示のドライバーファイル(C-00000291*.sys)を削除またはリネームすることでOSを通常起動できる。
・セーフモードでCrowdStrike Falcon Sensorをアンインストールすると通常起動が可能。
2)セーフモードでもOS起動ができないが、その他のWindows回復環境は利用できる場合
・回復環境からシステムの復元を実行してみます。
・回復環境からcmdを起動し、「 sc delete csagent 」とコマンドを入力して実行することで、CrowdStrike Falcon Sensorを削除します。
2024/7/22 詳細情報を追記
1)色々なケースの解決策
2)MSの今回のCrowdStrikeの障害に対応するリカバリー手順
3)USBリカバリーツールの作成方法等
1)色々なケースの解決策は、macnicas社の「CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害(BSOD)について」ページが整理されたULRが見やすく一覧されています。
CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害(BSOD)について(記事は日本語記事、リンク先は英文多し)
一部抜粋
個々の端末に対する復旧策
・端末を再起動すると、修正されたチャンネルファイルをダウンロードできるようになります。高速な通信を確保するため有線インターネット接続で端末を再起動することをおすすめいたします。
・リブート後にクラッシュが継続する場合
・オプション1- 手動削除手順
こちらのマイクロソフトの記事から復旧のステップをご確認いただけます。・オプション2 – リカバリツールによる削除手順
リカバリツールは、こちらのKB記事をご参照ください。※注意: 上記のオプションは共にBitLockerで暗号化された端末は回復キーが必要な場合があります
マイクロソフト環境でのBitLockerリカバリ
Microsoft Azure での BitLockerリカバリ
SCCM を使用した Microsoft 環境での BitLocker リカバリ
Active Directory と GPO を使用した Microsoft 環境での BitLocker のリカバリ
Ivanti Endpoint Manager を使用した Microsoft 環境での BitLocker のリカバリ
ManageEngine Desktop Central を使用した Microsoft 環境での BitLocker のリカバリ
IBM BigFix を使用した Microsoft 環境での BitLocker のリカバリ回復キーなしでのBitLockerリカバリ
回復キーなしでのBitLockerリカバリ
Workspace ONE ポータルでのBitLockerリカバリ
User Access to Recovery Key in the Workspace ONE Portal
TaniumでのBitLockerリカバリ
Reference: Windows encryption management
Citrixを利用したBitlockerリカバリ
BitLocker recovery key
AWSリカバリ
How do I recover AWS resources that were affected by the CrowdStrike Falcon agent?
Azureリカバリ
Azure status
Google Cloud Platform (GCP) リカバリ
Automated Recovery from Blue Screen on Windows Instances in GCP
パブリック クラウドまたは仮想を含む同様の環境の復旧手順
[オプション1]
1. 影響を受ける仮想サーバーからオペレーティングシステムのディスクボリュームを切り離す
2. 先に進む前にディスクボリュームのスナップショットまたはバックアップを作成。(意図しない変更に対する予防策)
3. ボリュームを新しい仮想サーバーに接続/マウント
4. “%WINDIR%\\System32\drivers\CrowdStrike” ディレクトリに移動
5. “C-00000291″から始まるファイル名で、“.sys” で終わるファイル(“C-00000291*.sys”)を削除
6. 新しい仮想サーバーからボリュームを切り離す
7. 影響を受けた仮想サーバーに固定ボリュームを接続/マウント [オプション2]日本時間2024/7/19 13:09より前のスナップショットにロールバック
Intel vPro テクノロジー修復ガイド
Remediate CrowdStrike Falcon® update issue on Windows systems with Intel vPro® technology
Rublikリカバリ
CrowdStrike & Rubrik Customer Content Update Recovery For Windows Hosts
Cohesityサポート
Cohesity’s support for CrowdStrike’s Falcon Sensor updates
2)MSの今回のCrowdStrikeの障害に対応するリカバリー手順公開ページは以下。(英文)
KB5042421: Windows エンドポイントに影響を与える CrowdStrike の問題により、ブルー スクリーンに0x50または0x7Eエラー メッセージが表示される
3)USBリカバリーツールの作成方法等は以下。少々難しいといえば難しい書き方なのですが、ITプロ対象ということになってくるようですので仕方がないかもです。
Windowsエンドポイントに影響を与えるCrowdStrikeの問題に役立つ新しいリカバリツール(英文)
方法の概要
・管理者がリカバリUSBドライブを作成
・上記サイトから署名されたリカバリーツールをダウンロード
・そこからPowerShellスクリプトを抽出
・管理者権限でMsftRecoveryToolForCS.ps1を実行
・ADKのダウンロードとインストールが開始される
・。ドライバディレクトリの画像インポートを選択するオプションの後、プロンプトが表示されたらUSBドライブを挿入
・ドライブレターを指定し、リカバリUSBドライブを作成する。
・続いて作成したリカバリUSBドライブを、修復対象のデバイスに挿入し、再起動
・「F12キーを押す」などデバイスごとのBIOSのブートメニューを呼び出し、「USBからブート」を選択
・USBからブートされ、CrowdStrikeが推奨する問題修正スクリプトを実行される
※ 、BitLockerが有効な場合は、回復キーの入力が必要で、入力時にはBitLocker回復キーにハイフンを含める必要
・完了すると通常通り再起動される。
この記事中の広告リンク一覧
この記事中の広告リンク一覧です。
記事本文中の広告リンク(アドセンスを除く)
この記事にはありません。
記事本文中の広告リンク(アドセンス)
記事公開時点ではありません。
ただし、今後自動広告の設定を変更した場合は表示されるようになる可能性があります。
また、グーグルアドセンスでグーグルが行う自動広告の効果テストが自動実行されると広告が表示される可能性があります。
サイドバーやヘッダー部分などの広告
広告が表示されています。
業者名や商品名など
この記事では明示的にプロモーションとして取り扱っているものはありません。
ただし、過去のプロモーションなどで取り扱った商品名や企業名などがプロモーション目的ではなくとも記載されている場合があります。
過去のプロモーションなどで取り扱った企業名は、できる限りステマ規制に関する表示についてのアフィリエイト等関連業者名一覧の項で記載していますので、お手数ですがそちらでご確認ください。
たまたまですが、アップデートを7/31まで一時停止てたので
巻き込まれずに済んだ模様です。
ラッキーでしたね。かなりの騒ぎでしたね。
今日、KB5035942(Windows 構成の更新プログラム、たぶん何らかの修正版?)が来てましたので「それか?」なんて思ったんですけど、違ったようです。
追記
原因ではなく、解決策の一部だったようです。
IEコンポーネントの修正も来ますので、次はそれが原因なんてことにならないよう祈っています。