Wereldwijde Crowdstrike BSOD issue discussietopic

Intussen heeft Crowdstrike zelf ook een potentiele fix uitgebracht. Ze kunnen kennelijk een update klaarzetten waarbij de betreffende channel file(s) door de agent in quarantine worden gezet. Ze geven daarbij wel aan:

After the problematic channel file is quarantined, the host may still BSOD once or twice. There’s a race between the bad content being quarantined and the bad content being processed and activated in the sensor.

Deze procedure kan door een Falcon admin worden aangevraagd via een Crowdstrike support ticket.

Ik heb een User die nog steeds in de bootloop zit. Ze heeft alle stappen van de recovey heeft doorlopen en nu op het inlog scherm zit.

Alleen het probleem is nu dat zij nog geen pincode/gezichtsherkenning heeft ingesteld. Aangezien wij een pincode verplichten blijft hij nu op vast lopen.

Heb al normale safemode geprobeert en met netwerk. Maar bij beide geeft hij het zelfde probleem.En het andere lastige is zij zit in Oostenrijk en ik in Nederland.


Het gaat om een Surface Laptop 6 Business op Windows 11

Iemand een idee hoe je het pincode gedeelte te omzeilen?

Modbreak:

Titel en topicwarning zijn aangepast. Nu de ergste impact achter de rug is kan er ook weer gediscussieerd worden over andere zaken rondom dit issue.

NickC schreef op woensdag 24 juli 2024 @ 15:12:
Ik heb een User die nog steeds in de bootloop zit. Ze heeft alle stappen van de recovey heeft doorlopen en nu op het inlog scherm zit.

Alleen het probleem is nu dat zij nog geen pincode/gezichtsherkenning heeft ingesteld. Aangezien wij een pincode verplichten blijft hij nu op vast lopen.

Heb al normale safemode geprobeert en met netwerk. Maar bij beide geeft hij het zelfde probleem.En het andere lastige is zij zit in Oostenrijk en ik in Nederland.


Het gaat om een Surface Laptop 6 Business op Windows 11

Iemand een idee hoe je het pincode gedeelte te omzeilen?

Die user had dus nog nooit ingelogd op die laptop? Nieuw apparaat of nieuwe medewerker of zo? Kan je dan niet beter gewoon die machine omruilen voor een ander device of dat ding re-imagen?

Anders een tijdelijk wachtwoord instellen op dat (AD?) account en daarmee inloggen?

Orion84 schreef op vrijdag 19 juli 2024 @ 17:24:
[...]
Dat zegt verder niets over hoe waarschijnlijk een dergelijk scenario is natuurlijk.

Ik vindt deze wel erg aardig om te kijken: YouTube: CrowdStrike IT Outage Explained by a Windows Developer

Zijn analyse is dat het een definition files is geweest met allemaal nullen en een falende controle daarop door de Crowdstrike device driver die in kernel mode draait. Verklaard verder natuurlijk nog niet hoe dit kon.

Maar een aanval door derden lijkt dan niet zo heel waarschijnlijk.

Orion84 schreef op woensdag 24 juli 2024 @ 16:07:
[...]

Die user had dus nog nooit ingelogd op die laptop? Nieuw apparaat of nieuwe medewerker of zo? Kan je dan niet beter gewoon die machine omruilen voor een ander device of dat ding re-imagen?

Anders een tijdelijk wachtwoord instellen op dat (AD?) account en daarmee inloggen?

Ze heeft haar laptop ergens begin afgelopen week gekregen en blijkbaar heeft ze dat nog steeds niet ingesteld.

Wachtwoord was al gereset in AD en daar kwamen we ook al doorheen. Was meer daarna kreeg je de promt dat je je moest authenticeren en dan een pincode in stellen. Daar liep hij op vast.

Uiteindelijk het via CMD gedaan in recovery. Helemaal vergeten dat het ook op die manier kon.