Résoudre le bug Crowdstrike
Mohand Imakhoukhene Mohand Imakhoukhene
Consultant en cybersécurité
Me contacter
  1. Home
  2. Blog
  3. Résoudre le bug Crowdstrike

Résoudre le bug Crowdstrike

Publié dans  Crowdstrike Procédure
 •     Temps de lecture: 2 min.
Résoudre le bug Crowdstrike

La mise à jour de l’agent (sensor) falcon de Crowdstrike introduisant le fichier “C-00000291*.sys” avec le timestamp de 0409 UTC sur les terminaux Windows, a causé des plantages d’ordinateurs avec BSOD (blue screen of death) en cascade ce vendredi matin, paralysant notamment des aéroports, des gares et de nombreuses entreprises dans le monde entier.

Dérnière mise à jour:

Microsoft a publié un outil destiné aux administrateurs permettant de facilier la récupération des machines impactées.

Résolution des problèmes de démarrage Windows liés à CrowdStrike pour les machines qui ne reconnaissent pas les partitions au démarage

Ce document décrit une procédure pour résoudre les problèmes de démarrage de Windows causés par CrowdStrike, en particulier lorsque les méthodes de restauration standard échouent.

Problème

Le système ne reconnaît pas le disque dur, empêchant l’accès aux options de démarrage dans l’outil de dépannage. Les commandes standard comme diskpart list disk ne parviennent pas à identifier le disque.

Solution

La solution implique la création d’une clé USB contenant les pilotes nécessaires, puis le chargement de ces pilotes depuis l’environnement de récupération Windows (WinRE).

Prérequis

  • Un PC fonctionnel pour préparer la clé USB
  • Connaissance du chipset de la machine affectée
  • Mode de disque configuré dans le BIOS

Procédure

  1. Préparation de la clé USB
    a. Téléchargez le pilote approprié pour votre chipset et model de disque.
    b. Extrayez les fichiers du pilote :
SetupRST.exe -extractdrivers SetupRST_extracted
// Cette commande extrait les fichiers du pilote dans un dossier nommé SetupRST_extracted

c. Copiez le contenu du dossier “Driver” sur la clé USB.

  1. Chargement des pilotes sur le PC affecté
    a. Démarrez en mode récupération et accédez à l’invite de commandes.
    b. Vérifiez la reconnaissance de la clé USB :
   diskpart
   list disk
   list volume
   exit
   // Ces commandes permettent de lister les disques et volumes reconnus par le système

c. Chargez le pilote VMD :

A:
cd VMD
drvload iaStorVD.inf
//    # A: est généralement la lettre attribuée à la clé USB
// # La commande drvload charge le pilote spécifié

d. Vérifiez la reconnaissance du disque système :

  diskpart
   list disk
   list volume
//  Ces commandes permettent de vérifier si le disque système est maintenant reconnu
  1. Suppression du fichier problématique
    Si le disque système est reconnu (généralement comme A:), supprimez le fichier CrowdStrike incriminé :
 del A:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
//  Cette commande supprime le fichier CrowdStrike causant le problème

Remarques

  • Si le disque n’est toujours pas reconnu, vérifiez la compatibilité du pilote avec votre chipset et le mode de disque.
  • Cette procédure nécessite une connaissance technique et doit être effectuée avec précaution.