Microsoft, Cuma günü yaklaşık 8,5 milyon Windows cihazının çökmesine neden olan hatalı CrowdStrike güncelleştirmesini bulup kaldırmak için özel bir WinPE kurtarma aracı yayınladı.
Cuma günü CrowdStrike, dünya çapında milyonlarca Windows cihazının aniden Mavi Ekran (BSOD) ile çökmesine ve yeniden başlatma döngülerine girmesine neden olan hatalı bir güncelleme yayınladı.
Bu aksaklık, şirketler aniden tüm Windows cihazlarının artık çalışmadığını fark ettiğinden büyük BT kesintilerine neden oldu. Bu BT kesintileri dünya çapında havaalanlarını, hastaneleri, bankaları, şirketleri ve devlet kurumlarını etkiledi.
Düzeltmeyi çözmek için yöneticilerin etkilenen Windows aygıtlarını Güvenli Daha Fazla veya Kurtarma Ortamı’nda yeniden başlatmaları ve hatalı çekirdek sürücüsünü C:\Windows\System32\drivers\CrowdStrike dizininden manuel olarak kaldırmaları gerekiyordu.
Ancak kuruluşlar yüzlerce, hatta binlerce etkilenen Windows cihazıyla karşı karşıya olduğundan, bu düzeltmeleri manuel olarak gerçekleştirmek sorunlu, zaman alıcı ve zor olabilir.
Microsoft, BT yöneticilerine ve destek personeline yardımcı olmak için, Windows aygıtlarından hatalı CrowdStrike güncelleştirmesinin otomatik olarak kaldırılmasını ve aygıtların tekrar normal şekilde başlatılabilmesini sağlayan özel bir kurtarma aracı yayınladı.
Microsoft destek bülteninde, “Windows istemcilerini ve sunucularını etkileyen CrowdStrike Falcon aracı sorununun ardından, BT yöneticilerinin onarım sürecini hızlandırmasına yardımcı olmak için bir USB aracı yayınladık” ifadeleri yer alıyor.
“İmzalı Microsoft Kurtarma Aracı’nı Microsoft İndirme Merkezi’nde bulabilirsiniz: https://go.microsoft.com/fwlink/?linkid=2280386.”
Microsoft’un kurtarma aracını kullanmak için BT personelinin en az 8 GB boş alana sahip bir Windows 64 bit istemciye, bu cihazda yönetici ayrıcalıklarına, en az 1 GB depolama alanına sahip bir USB sürücüye ve gerekirse bir Bitlocker kurtarma anahtarına ihtiyacı vardır.
Burada dikkat edilmesi gereken nokta, 32 GB veya daha küçük bir USB belleğe ihtiyacınız olacağıdır, aksi takdirde sürücüyü başlatmak için gerekli olan FAT32 ile biçimlendiremezsiniz.
Kurtarma aracı, Microsoft’tan indirilen ve Yönetici ayrıcalıklarıyla çalıştırılması gereken bir PowerShell betiği aracılığıyla oluşturulur. Çalıştırıldığında, bir USB sürücüsünü biçimlendirir ve ardından sürücüye kopyalanan ve önyüklenebilir hale getirilen özel bir WinPE görüntüsü oluşturur.
Kaynak: BleepingComputer
Daha sonra etkilenen Windows cihazınızı USB anahtarıyla başlatabilirsiniz ve otomatik olarak CSRemediationScript.bat adlı bir toplu iş dosyası çalıştırılacaktır.
Kaynak: BleepingComputer
Bu toplu iş dosyası, aşağıdaki adımları kullanarak alınabilecek gerekli Bitlocker kurtarma anahtarlarını girmenizi isteyecektir.
Komut dosyası daha sonra C:\Windows\system32\drivers\CrowdStrike klasöründe hatalı CrowdStrike çekirdek sürücüsünü arayacak ve tespit ederse otomatik olarak silecektir.
BleepingComputer’ın testleri ve toplu iş dosyasının incelemesi, CrowdStrike sürücüsünün herhangi bir kaydını veya yedeğini oluşturmayacağını gösteriyor.
Komut dosyası tamamlandığında sizden herhangi bir tuşa basmanızı isteyecek ve cihazınız yeniden başlatılacaktır.
CrowdStrike sürücüsü silindiğine göre, cihaz Windows’ta yeniden başlatılmalı ve tekrar kullanılabilir olmalıdır.
Maalesef Windows yöneticilerinin önündeki en büyük engel, gerekli Bitlocker kurtarma anahtarlarını alabilmektir.
Bu nedenle, cihazları kurtarmaya çalışmadan önce, birine ihtiyaç olup olmadığını belirlemek ve onu kurtarmak atılması gereken ilk adımlar olmalıdır.
