Windows

マイクロソフトは、金曜日に推定850万台のウィンドウズ・デバイスをクラッシュさせたCrowdStrikeの欠陥アップデートを見つけ、削除するためのカスタムWinPEリカバリ・ツールをリリースした。

金曜日に、CrowdStrikeは、世界中の何百万ものWindowsデバイスが突然ブルースクリーンオブデス(BSOD)でクラッシュし、再起動ループに入る原因となる欠陥のあるアップデートをプッシュした。

この不具合により、企業は突然すべてのWindowsデバイスが動作しなくなったことに気づき、大規模なIT障害が発生した。これらのIT障害は、世界中の空港、病院、銀行、企業、政府機関に影響を与えた。

この問題を解決するには、管理者は影響を受けたWindowsデバイスをSafe Moreまたは回復環境で再起動し、C:⊖WindowsSystem32⊖drivers⊖CrowdStrikeフォルダから不具合のあるカーネルドライバーを手動で削除する必要がありました。

しかし、数千台とは言わないまでも、数百台のWindowsデバイスが影響を受けている組織では、これらの修正を手動で実行することは、問題が多く、時間がかかり、困難な場合があります。

IT管理者やサポートスタッフを支援するため、マイクロソフトは、WindowsデバイスからバグのあるCrowdStrikeアップデートを自動的に削除し、再び正常に起動できるようにするカスタムリカバリツールをリリースした。

「Windowsクライアントとサーバーに影響を及ぼしているCrowdStrike Falconエージェントの問題のフォローアップとして、IT管理者が修復プロセスを迅速化するためのUSBツールをリリースしました。

「署名入りのMicrosoft Recovery ToolはMicrosoft Download Center:https://go.microsoft.com/fwlink/?linkid=2280386 にあります。”

マイクロソフトの復旧ツールを使用するには、ITスタッフは、少なくとも8GBの空き容量があるWindows 64ビット・クライアント、このデバイスの管理者権限、少なくとも1GBのストレージがあるUSBドライブ、および必要に応じてBitlocker復旧キーが必要です。

なお、32GB以下のUSBフラッシュ・ドライブが必要です。そうでないと、ドライブの起動に必要なFAT32でフォーマットできないからです。

回復ツールは、MicrosoftからダウンロードしたPowerShellスクリプトで作成され、管理者権限で実行する必要があります。実行すると、USBドライブがフォーマットされ、カスタムWinPEイメージが作成される。

Creating the Microsoft CrowdStrike Recovery Tool
Microsoft CrowdStrike Recovery Tool の作成
Source

その後、USB キーで衝撃を受けた Windows デバイスを起動すると、CSRemediationScript.bat というバッチファイルが自動的に実行されます。

Microsoft Recovery Tool removing the bad CrowdStrike driver
Microsoft Recovery Tool による不良 CrowdStrike ドライバの削除
ソースはこちら:

このバッチファイルは、必要な Bitlocker 復旧キーを入力するよう促します。

このスクリプトは次に、C:˶Windowssystem32˶drivers˶CrowdStrikeフォルダにある、バグを起こしたCrowdStrikeカーネルドライバを検索し、検出された場合は自動的に削除します。

バッチファイルのテストとレビューによると、CrowdStrikeドライバのログやバックアップは作成されません。

完了すると、スクリプトは何かキーを押すよう促し、デバイスは再起動します。

これでCrowdStrikeドライバは削除され、デバイスはWindowsで起動し、再び使用できるようになります。

残念ながら、Windows管理者にとって最大の難関は、必要なBitlockerリカバリキーを回収することだ。

そのため、デバイスの復旧を試みる前に、まず必要であるかどうかを判断し、それを復旧させる必要がある。