ระบบไอทีล่มทั่วโลกจากการอัปเกรดของ CrowdStrike Sensor ทำให้เกิด Blue Screen of Death (BSOD) บนระบบปฏิบัติการวินโดวส์ พร้อมวิธีแก้ไข

วันที่โพส 20 ก.ค. 2567 ผู้ชม 175

            เมื่อวันที่ 19 กรกฎาคมที่ผ่านมา ระบบไอทีทั่วโลกต้องเผชิญกับปัญหาครั้งใหญ่หลังจากการอัปเดตความปลอดภัยของ CrowdStrike Sensor ซึ่งเป็นเซ็นเซอร์ความปลอดภัยบนระบบปฏิบัติการวินโดวส์ ส่งผลให้เกิดอาการจอฟ้า หรือ "Blue Screen of Death" (BSOD) ทั่วโลก ทั้งในสหรัฐอเมริกา เอเชีย และยุโรป ทำให้การใช้งานคอมพิวเตอร์เป็นอัมพาตไปหลายชั่วโมง

             จากการรายงานของ The Guardian พบว่าปัญหานี้ได้ส่งผลกระทบต่อหลายภาคส่วนทั่วโลก เช่น ธนาคาร สายการบิน บริษัทโทรคมนาคม โทรทัศน์และวิทยุกระจายเสียง และซูเปอร์มาร์เก็ต ต่างต้องออฟไลน์เนื่องจากปัญหา BSOD บนระบบวินโดวส์

การแก้ปัญหาจอฟ้า (BSOD) หลังจากการอัปเดตของ CrowStrike

           สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) หรือ NCSA ได้เผยแพร่วิธีการแก้ปัญหาจอฟ้าสำหรับผู้ที่ยังประสบปัญหานี้ โดยให้คำแนะนำเกี่ยวกับการบูตเข้าสู่ Safe Mode และการใช้ Command Prompt เพื่อแก้ไขไฟล์ที่เป็นปัญหา

วิธีการแก้ไขเบื้องต้นสำหรับผู้ใช้งานระบบทั่วไป

1. บูตเข้าสู่ Safe Mode (ตามคำแนะนำอย่างเป็นทางการของ CrowdStrike) ขั้นตอนต่อไปนี้ทำได้ทุกกรณี แม้ว่าระบบจะไม่มี local admin account ในเครื่องและไม่มีการเชื่อมต่ออินเทอร์เน็ต
2. บูตและ crash 3 ครั้ง เพื่อให้เมนูปรากฏ
3. คลิก Troubleshoot > Advanced Options > Command Prompt
4. หากระบบได้รับการป้องกันด้วย BitLocker ให้ป้อนรหัสการกู้คืน (หาก BitLocker ถูกจัดการผ่าน Microsoft Intune สามารถค้นข้อมูลได้ที่ https://myaccount.microsoft.com ภายใต้เมนู "device" ตรวจสอบให้แน่ใจว่าได้จับคู่ชื่อโฮสต์ของอุปกรณ์และ ID ของคีย์หากไม่สามารถค้นหาข้อมูลใน Microsoft Intune ได้ให้ติดต่อเพื่อขอรับ Recovery Key BitLocker จากผู้ดูแลระบบ IT ของหน่วยงาน)
5. ใช้คำสั่งใน Command Prompt:
   c:
   cd windows\system32\drivers\crowdstrike
   del C-00000291*
   exit
    
6. คลิก continue to Windows

วิธีการแก้ไขสำหรับผู้ใช้งานระบบ Cloud หรือ Virtual Machines

• ตัวเลือกที่ 1:

  1. Detach Volume disk ระบบปฏิบัติการออกจาก virtual server ที่ได้รับผลกระทบ
  2. Create a snapshot หรือ backup ของ disk volume ก่อนดำเนินการต่อไปเพื่อเป็นการป้องกันการเปลี่ยนแปลงที่ไม่ตั้งใจ
  3. Attach/mount volume กับ virtual server ใหม่
  4. ลบไฟล์ที่เป็นปัญหาจากไดเรกทอรี C:\Windows\System32\drivers\CrowdStrike
  5. Detach volume ออกจาก virtual server ใหม่
  6. reattach volume ที่ได้รับการแก้ไขกลับไปยัง virtual server ที่ได้รับผลกระทบ

• ตัวเลือกที่ 2:

  1. ย้อนกลับไป snapshot ก่อนเวลา 04.09 UTC

วิธีการแก้ไขสำหรับ Azure

1. เข้าสู่ระบบคอนโซล Azure และไปที่ Virtual Machines
2. เลือก VM ที่ต้องการแก้ไข
3. ด้านซ้ายบนของคอนโซล --> คลิก: "Connect" --> คลิก --> Connect --> คลิก "More ways to Connect" --> คลิก: "Serial Console"
4. เมื่อ SAC โหลดแล้ว พิมพ์ 'cmd' และกด Enter
5. พิมพ์: 
   ch -si 1
   กดปุ่มใดก็ได้ (หรือกดแป้น space bar) ใส่ Credential ของผู้ดูแลระบบ ป้อนคำสั่งดังนี้:
   bcdedit /set {current} safeboot minimal
   bcdedit /set {current} safeboot network
    
6. Restart VM

ผู้ใช้งานควรตรวจสอบสถานะการบูตด้วยคำสั่ง:

wmic COMPUTERSYSTEM GET BootupState

การแก้ปัญหาเหล่านี้สามารถช่วยให้ระบบกลับมาใช้งานได้อีกครั้งหลังจากที่ประสบปัญหา BSOD อันเนื่องมาจากการอัพเดตของ CrowdStrike Sensor อย่างไรก็ตาม ผู้ใช้งานควรทำตามขั้นตอนอย่างระมัดระวังเพื่อป้องกันปัญหาที่อาจเกิดขึ้นเพิ่มเติม

คำถามที่พบบ่อย:

>> การทำตามขั้นตอนเหล่านี้จะทำให้ความปลอดภัยของฉันลดลงหรือไม่

ตอบ : ไม่ หลังจากทำตามขั้นตอนข้างต้น CrowdStrike จะกลับมาทำงานตามปกติในระบบและระบบของคุณยังคงได้รับการป้องกัน

>> นี่เป็นผลจากการโจมตีทางไซเบอร์หรือไม่?

ตอบ : CrowdStrike ได้ระบุสาเหตุของการอัปเดตที่ผิดพลาดว่าเป็นข้อบกพร่องในการอัปเดตเนื้อหา (content update) ไม่มีข้อบ่งชี้ว่าเกิดจากการโจมตีทางไซเบอร์

>> ฉันจำเป็นต้องถอดถอน CrowdStrike หรือไม่?

ตอบ : หากระบบของคุณบูตแล้วและ (กลับมา) ออนไลน์ ไม่มีความจำเป็นต้องถอดถอน CrowdStrike

ที่มา: NCSA Thailand 
        www.eye.security