Microsoft ha lanzado una herramienta de recuperación de WinPE personalizada para encontrar y eliminar la actualización defectuosa de CrowdStrike que bloqueó alrededor de 8,5 millones de dispositivos Windows el viernes.
El viernes, CrowdStrike lanzó una actualización defectuosa que provocó que millones de dispositivos Windows en todo el mundo fallaran repentinamente con una pantalla azul de la muerte (BSOD) y entraran en ciclos de reinicio.
Este problema provocó interrupciones masivas de TI cuando las empresas descubrieron repentinamente que todos sus dispositivos Windows ya no funcionaban. Estos cortes de TI han afectado a aeropuertos, hospitales, bancos, empresas y agencias gubernamentales de todo el mundo.
Para resolver la solución, los administradores tuvieron que reiniciar los dispositivos Windows afectados en Safe More o Recovery Environment y eliminar manualmente el controlador del kernel defectuoso de la carpeta C:\Windows\System32\drivers\CrowdStrike.
Sin embargo, debido a que las organizaciones se enfrentan a cientos, si no miles, de dispositivos Windows afectados, realizar estas correcciones manualmente puede resultar problemático, llevar mucho tiempo y ser difícil.
Para ayudar a los administradores de TI y al personal de soporte, Microsoft ha lanzado una herramienta de recuperación personalizada que automatiza la eliminación de la actualización defectuosa de CrowdStrike de los dispositivos Windows para que puedan reiniciarse normalmente.
“Como resultado del problema de CrowdStrike Falcon Agent que afectó a los clientes y servidores de Windows, hemos lanzado una herramienta USB para ayudar a los administradores de TI a acelerar el proceso de reparación”, se lee en una publicación. Boletín de soporte de Microsoft.
“La herramienta de recuperación de Microsoft firmada está disponible en el Centro de descarga de Microsoft: https://go.microsoft.com/fwlink/?linkid=2280386“.”
Para utilizar la herramienta de recuperación de Microsoft, el personal de TI necesita un cliente Windows de 64 bits con al menos 8 GB de espacio, privilegios administrativos en ese dispositivo, una unidad USB con al menos 1 GB de almacenamiento y una clave de recuperación Bitlocker si es necesario.
Vale la pena señalar que necesitará una unidad USB de 32 GB o menos; de lo contrario, no podrá formatearla con FAT32, que es necesario para iniciar la unidad.
La herramienta de recuperación se crea mediante un script de PowerShell descargado de Microsoft, que debe ejecutarse con privilegios de administrador. Una vez ejecutado, formatea una unidad USB y luego crea una imagen WinPE personalizada, que se copia en la unidad y se puede iniciar.
Fuente: BleepingComputer
Luego puede iniciar su dispositivo Windows afectado con la unidad USB y automáticamente ejecutará un archivo por lotes llamado CSRemediationScript.bat.
Fuente: BleepingComputer
Este archivo por lotes le pedirá que ingrese todas las claves de recuperación de Bitlocker necesarias, que se pueden recuperar usando estos pasos.
Luego, el script buscará el controlador del kernel CrowdStrike defectuoso en la carpeta C:\Windows\system32\drivers\CrowdStrike y, si lo detecta, lo eliminará automáticamente.
Las pruebas y revisión del archivo por lotes realizadas por BleepingComputer muestran que no creará ningún registro ni copia de seguridad del controlador CrowdStrike.
Una vez terminado, el script le pedirá que presione cualquier tecla y su dispositivo se reiniciará.
Ahora que se eliminó el controlador CrowdStrike, el dispositivo debería reiniciarse en Windows y estar disponible nuevamente.
Desafortunadamente, el mayor obstáculo para los administradores de Windows es recuperar las claves de recuperación de Bitlocker necesarias.
Por lo tanto, determinar si un dispositivo es necesario y recuperarlo deben ser los primeros pasos a seguir antes de intentar recuperar dispositivos.
