Mis à jour Avez-vous rencontré un problème de boucle de démarrage panne-mondiale-des-systemes-informatiques-aeroports-banques-sante-et-bien-plus-en-crise/ » title= »Panne mondiale des systèmes informatiques : aéroports, banques, santé et bien plus en crise ! »>BSOD sur vos machines virtuelles Azure à cause de la panne de CrowdStrike ? Si c’est le cas, Microsoft a quelques conseils pour vous aider à les remettre en ligne.
Il semble qu’un fichier de canal défectueux pour la solution de sécurité des points de terminaison Falcon de CrowdStrike ait provoqué l’agent de détection active de son capteur à attaquer son hôte. Cela a rendu les machines Windows dans le monde entier encore moins fonctionnelles, causant des perturbations dans les aéroports, les hôpitaux, les services d’urgence et dans de nombreux autres endroits inattendus.
On ne pense pas que la défaillance de CrowdStrike soit liée à l’autre panne d’Azure survenue hier, donc si vous vous remettez de l’une, espérons que vous n’avez pas eu à faire face à l’autre. Cependant, si vos VMs ont été affectées par Falcon, continuez à lire.
Redémarrez sans relâche
Nous aimerions dire que c’est une blague, mais ce n’est pas le cas : le principal conseil de Microsoft pour réparer vos machines virtuelles Azure défectueuses est de les éteindre et de les rallumer – encore et encore. En fait, il en faut même plus que cela.
« Nous avons reçu des rapports de clients ayant réussi à récupérer leurs machines virtuelles après avoir tenté plusieurs opérations de redémarrage sur les machines affectées, » a déclaré Microsoft sur sa page d’état Azure au moment de la rédaction. « Plusieurs redémarrages (jusqu’à 15 ont été signalés) peuvent être nécessaires, mais les retours d’expérience indiquent que les redémarrages sont une étape de dépannage efficace à ce stade. »
Les utilisateurs concernés peuvent redémarrer leurs VMs via le portail Azure, ou en utilisant Azure CLI ou Azure Shell.
Il est toujours surprenant de constater que la première étape de mitigation commence par « redémarrez et priez ».
Bien sûr, cela ne résoudra pas le problème pour tout le monde, et les étapes suivantes sont largement similaires à ce qui a été rapporté par d’autres, comme le responsable de la chasse aux menaces chez CrowdStrike, Brody Nisbet : il faut procéder manuellement.
Tout d’abord, si vous disposez d’une sauvegarde datant d’avant 19h00 UTC hier, restaurez-la. Si vos habitudes de sauvegarde sont négligées, vous devrez réparer le disque système hors ligne, ce qui sera plus compliqué pour ceux qui ont des disques chiffrés.
Une fois que vous avez réussi à attacher un disque de récupération, Microsoft recommande aux clients de supprimer Windows/System/System32/Drivers/CrowdStrike/C00000291*.sys, la même recommandation que Nisbet a faite pour d’autres utilisateurs affectés.
Malheureusement, même cela pourrait ne pas fonctionner, a averti Nisbet – espérons que vos systèmes ne tombent pas dans cette catégorie.
Le redémarrage a été recommandé comme solution principalement pour donner à la machine une chance de tenter de contacter les serveurs de CrowdStrike et de récupérer le correctif. Malheureusement, lorsque vous êtes coincé dans une boucle de démarrage, cela n’est pas très réalisable. Pour ceux qui ne peuvent pas démarrer sous Windows, que ce soit sur une VM ou une machine physique, le Centre Internet Storm a recommandé de démarrer en mode sans échec avec réseau, puis de suivre les étapes pour supprimer le fichier problématique.
Mis à jour à 15h51 UTC le 19 juillet 2024, pour ajouter
La page d’avis de CrowdStrike concernant la panne a été mise à jour pour ajouter plus d’options de récupération, ainsi que des étapes spécifiques pour les utilisateurs d’AWS et ceux dont les VMs Windows sont sécurisées via Bitlocker.
