Microsoft, CrowdStrike’ın Neden Olduğu Windows Kaosunu Düzeltmek İçin Araç Yayımladı


Microsoft, dünya çapında BT sistemlerini çökerten CrowdStrike kesintilerini düzeltmek için bir kurtarma aracı yayınladı. Araç iki onarım seçeneği sunuyor: WinPE’den Kurtarma ve Güvenli Moddan Kurtarma. Hemen Microsoft İndirme Merkezi’nden indirin ve sistemlerinizi geri yükleyin!

CrowdStrike’ın yaptığı küçük bir yazılım güncellemesi, 19 Temmuz 2024’te tarihin en büyük BT kesintisine neden oldu ve dünya çapındaki bankaları, havayollarını, hastaneleri ve medya kuruluşlarını etkiledi. Güncelleme, Windows tabanlı sistemlerin yeniden başlatılmasına ve mavi ölüm ekranlarının görüntülenmesine yol açtı. CrowdStrike CEO’su George Kurtz, sorunun Falcon Sensörüne yapılan bir güncellemeden kaynaklandığını doğruladı.

Ortaya çıkan BT kesintisi, tehdit aktörleri tarafından öncelikli olarak LATAM müşterilerini hedef almak için kullanıldı. HijackLoader içeren aldatıcı bir ZIP dosyası olan crowdstrike-hotfix.zip, RemCos RAT’ı dağıtmak için kullanıldı ve saldırganlara enfekte sistemler üzerinde kontrol sağladı.

Microsoft şimdi, BT yöneticilerinin Windows istemcileri ve sunucularındaki CrowdStrike Falcon aracısından kaynaklanan sorunları çözmelerine yardımcı olmak için tasarlanmış yükseltilmiş bir kurtarma aracı yayınladı. Yaklaşık 8,5 milyon Windows cihazının bu sorundan etkilendiğini belirtmekte fayda var.

Bu yeni Microsoft Recovery Tool, onarım sürecini kolaylaştırmak için iki onarım seçeneği sunar. Bu araç, Microsoft İndirme Merkezi’nden buradan indirilebilir.

Kullanılabilir iki kurtarma seçeneği şunlardır:

  1. WinPE’den kurtarma: Bu yöntem, aygıt onarımını kolaylaştırmak için önyükleme ortamı oluşturur. Yerel yönetici ayrıcalıkları gerektirmeyen doğrudan bir kurtarma seçeneğidir. BitLocker etkinleştirilirse, kurtarma anahtarını manuel olarak girmeniz gerekebilir. Üçüncü taraf disk şifreleme çözümleri için, satıcının kılavuzuna bakın.
  2. Güvenli Moddan Kurtarma: Bu seçenek, aygıtların önyükleme ortamını kullanarak güvenli modda önyükleme yapmasına olanak tanır. Kullanıcıların düzeltme adımlarını çalıştırmak için yerel yönetici erişimine ihtiyacı vardır. Bu yöntem, yalnızca TPM koruyucuları veya şifrelenmemiş aygıtlar için uygundur. BitLocker etkin aygıtlar kurtarma anahtarı veya PIN girilmesini gerektirebilir.

Her iki yöntem için de, kurtarma işlemini yaygın olarak dağıtmadan önce birden fazla cihazda test etmeniz önerilir. USB veya PXE kurtarma mümkün değilse, cihazın yeniden görüntülenmesi gerekebilir.

Önyükleme Ortamı Oluşturmak İçin Ön Koşullar

Önyükleme ortamını oluşturmak için şunlara ihtiyacınız olacak:

  • En az 8 GB kullanılabilir depolama alanına sahip 64 bit Windows istemcisi.
  • İstemci aygıtında yönetici ayrıcalıkları.
  • Biçimlendirilecek bir USB bellek (1GB ile 32GB arası).

WinPE Kurtarma Ortamı Oluşturma

64-bit Windows istemcisinde şu şekilde ilerleyebilirsiniz:

  • Microsoft Kurtarma Aracını Microsoft İndirme Merkezi’nden edinin.
  • İndirilen paketten PowerShell betiğini çıkarın.
  • Yükseltilmiş bir PowerShell isteminden MsftRecoveryToolForCSv2.ps1 betiğini çalıştırın.
  • ADK indirilecek ve medya oluşturma işlemi başlayacaktır.
  • WinPE veya Güvenli Mod kurtarma seçeneklerinden birini seçin.
  • İsteğe bağlı olarak, gerekirse sürücü dosyalarını kurtarma görüntüsüne aktarın.
  • Bir ISO veya USB sürücüsü oluşturun ve sürücü harfini belirtin.

Önyükleme Ortamını Kullanma

WinPE Kurtarma:

  • USB sürücüyü etkilenen cihaza takın ve yeniden başlatın.
  • BIOS önyükleme menüsüne girin (genellikle F12’ye basarak) ve USB’den Önyükle’yi seçin.
  • Kurtarma aracı, gerekirse BitLocker kurtarma anahtarını isteyecektir.
  • Düzeltmeyi tamamlamak için ekrandaki talimatları izleyin.

Güvenli Mod Kurtarma:

  • USB belleği takın ve cihazı yeniden başlatın.
  • BIOS önyükleme menüsüne girin ve USB’den Önyükle’yi seçin.
  • Araç, cihazı güvenli modda başlatacak şekilde yapılandıracaktır.
  • Yerel bir yönetici hesabıyla oturum açın ve düzeltmeyi tamamlamak için USB sürücüsünden sağlanan betiği çalıştırın.

Hyper-V Sanal Makineleri

Kurtarma medyası Hyper-V sanal makinelerini de düzeltebilir. Kurtarma aracını kullanarak bir ISO oluşturun ve şu adımları izleyin:

  • Sanal makinenin SCSI denetleyicisine bir DVD sürücüsü ekleyin.
  • Kurtarma ISO’sunu görüntü dosyası olarak ekleyin.
  • DVD sürücüsünü önceliklendirecek şekilde önyükleme sırasını değiştirin.
  • Sanal makineyi başlatın ve uygun kurtarma adımlarını izleyin.

PXE kurtarma için, etkilenen cihazların ve PXE sunucusunun aynı alt ağda olduğundan emin olun. PXE sunucusunu açıklandığı şekilde yapılandırın ve PXE önyüklemesini kullanarak etkilenen cihazları kurtarmak için belirli adımları izleyin.

Daha detaylı bilgi ve düzenli güncellemeler için Microsoft’un destek makalelerine ve CrowdStrike’ın sorunla ilgili açıklamalarına bakabilirsiniz.

  1. CISA Ücretsiz Siber Güvenlik Araçları ve Hizmetleri Listesini Yayımladı
  2. Siber Güvenlik İşletmelerinin Gerçek Zamanlı Bir İşbirliği Aracına Neden İhtiyacı Var?
  3. ZDI, Microsoft’un Geçtiğimiz Haftaki Yama Salısında Kendisine Kredi Vermemesini Eleştiriyor
  4. Kaspersky’nin iShutdown Aracı, iOS Cihazlarında Pegasus Casus Yazılımını Algılıyor
  5. McAfee’nin Mockingbird AI Aracı Deepfake Sesi %90 Doğrulukla Algılıyor





Source link