CrowdStrike 更新による Windows クラッシュ:Microsoft がリカバリ・ツールを公開

Microsoft releases Windows repair tool to remove CrowdStrike driver

2024/07/21 BleepingComputer — 7月19日に CrowdStrike が公開したアップデートに含まれていた不具合により、推定 850万台の Windows デバイスをクラッシュした。それに対して Microsoft は、問題点を削除するための、カスタム WinPE リカバリ・ツールをリリースしている。周知のとおり、7月19日に CrowdStrike が配布した欠陥のあるアップデートにより、世界中の何百万台もの Windows デバイスが BSOD (Blue Screen of Death) クラッシュし、再起動ループに入るというアクシデントが発生した。この不具合は、大規模な IT 停止を引き起こし、数多くの組織は、すべての Windows デバイスが機能しなくなったことに気づいた。この IT 障害は、世界中の空港/病院/銀行/企業/政府機関などに影響を与えた。


この問題を解決する管理者たちは、影響を受けた Windows デバイスを Safe More または Recovery Environment で再起動し、”C:\Windows\System32\drivers\CrowdStrike” フォルダからバグを持つカーネル・ドライバを手動で削除する必要があった。つまり、数千台とは言わないまでも、数百台の Windows デバイスが影響を受けている組織でも、この修正を手動で実行するのは困難だと思われる。

そこで Microsoft は、IT 管理者やサポート・スタッフを支援するための、カスタム・リカバリ・ツールをリリースしている。そのツールとは、Windows デバイスからバグのある CrowdStrike アップデートを自動的に削除し、再び正常に起動できるようにするものだ。

同社はアドバイザリで、「CrowdStrike の Falcon エージェントが、Windows クライアント/サーバに影響を及ぼしている問題のフォローアップとして、IT 管理者が修復プロセスを迅速化するための USB ツールをリリースした。署名された Microsoft Recovery Tool は、Microsoft Download Center (https://go.microsoft.com/fwlink/?linkid=2280386) からダウンロードできる」と述べている。

Microsoft の復旧ツールを使用する IT スタッフは、少なくとも 8GB の空き容量のある Windows 64 bit クライアント/復旧対象のデバイスの管理者権限/少なくとも 1GB のストレージを持つ USB ドライブを必要とし、Bitlocker 復旧キーが必要な場合もあるという。

なお、32GB 以下 の USBフラッシュ・ドライブも必要である。それにより、FAT32 でフォーマットで、ドライブの起動が可能になる。

このリカバリ・ツールは、Microsoft からダウンロードした PowerShell スクリプトで作成されており、管理者権限で実行する必要がある。実行すると、USB ドライブがフォーマットされ、カスタム WinPE イメージが作成される。

Creating the Microsoft CrowdStrike Recovery Tool
Microsoft CrowdStrike リカバリ・ツールの作成
Source: BleepingComputer

続いて、不具合が発生した Windows デバイスを USB キーで起動すれば、CSRemediationScript.bat というバッチ・ファイルが自動的に実行される。

Microsoft Recovery Tool removing the bad CrowdStrike driver
Microsoft Recovery Tool が CrowdStrike の不具合が発生したドライバを削除
Source: BleepingComputer

このバッチ・ファイルは、必要な Bitlocker 回復キーの入力を求めるプロンプトを表示する。そのための回復キーは、ここから取得できる

その後に、このスクリプトは、”C:\Windows\system32\drivers\CrowdStrike” フォルダにあるバビーな CrowdStrike カーネル・ドライバを検索し、検出された場合は自動的に削除する。

BleepingComputer がバッチ・ファイルをテストしたところ、CrowdStrike ドライバのログやバックアップは作成されなかった。

完了すると、スクリプトにより任意のキーの押下が求められ、デバイスが再起動する。CrowdStrike ドライバーが削除されたデバイスは、Windows を再起動するため、再び使用できるようになる。

残念ながら、Windows 管理者にとっての最大の障害は、必要な Bitlocker 回復キーを取得することだ。したがって、デバイスの回復を試みる前に、デバイスが Bitlocker 回復キーを必要するのかどうかを判断して、回復を試みる必要がある。

CrowdStrike だけではなく Microsoft も、中の人たちは大変な毎日を過ごしていると思います。文中にもあるように、手動で問題を修正するためのガイダンスが、すでに提供されていますが、全世界で 850万台とも言われる、影響を受けたデバイスを修正するのは至難の業です。そこで、Microsoft が、修正を容易にするためのバッチをリリースしたとのことです。ただし、Bitlocker 回復キーの取得という難題が残されているようです。よろしければ、以下のリストを、ご参照ください。

2024/07/21:混乱に乗じてマルウェアやデータ・ワイパーが配布されている
2024/07/21:850万台の Windows マシンに影響
2024/07/19:CrowdStrike アップデートで Windows がクラッシュ