วิธีแก้จอฟ้า BSOD ของ Windows หลังมีการอัปเดต CrowdStrike จนคอมพ์ล่มทั่วโลก สายการบิน-หลายองค์กรหยุดชะงัก

การอัปเดตผลิตภัณฑ์จากผู้จำหน่าย infosec อย่าง CrowdStrike ทำให้คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ขัดข้องและแสดงหน้าจอสีฟ้าที่เรียกว่า Blue Screen Of Death (BSOD) โดยตอนนี้อยู่ในระหว่างดำเนินการแก้ไข ซึ่งไม่สามารถรีบูตเครื่องได้ งานนี้ ทำองค์กรทั่วโลกหยุดชะงัก

ปัญหาที่เกิดขึ้นกับ CrowdStrike กำลังก่อให้เกิดปัญหาที่แพร่หลายไปทั่วโลก วิศวกรของ CrowdStrike กล่าวว่า พวกเขากำลังดำเนินการแก้ไขปัญหานี้ ซึ่งได้รับผลกระทบจากเซ็นเซอร์ Falcon โดย Falcon สร้างขึ้นเพื่อหยุดการละเมิดผ่านชุดเทคโนโลยีที่ส่งผ่านระบบคลาวด์แบบรวม ซึ่งป้องกันการโจมตีทุกประเภท รวมถึงมัลแวร์และอื่น ๆ อีกมากมาย

แม้ว่ารายงานเบื้องต้นจะมุ่งเน้นไปที่การอัปเดตที่น่าสงสัย แต่ผู้ใช้ชื่อ Brody Nisbet ซึ่งเป็นผู้อำนวยการของ CrowdStrike Overwatch ได้โพสต์บนเอ็กซ์ (ทวิตเตอร์) ว่า “มีไฟล์ช่องสัญญาณที่ผิดพลาด ดังนั้น จึงไม่ใช่การอัปเดตได้อย่างสมบูรณ์ ” พร้อมกล่าวเสริมว่าถึงวิธีการแก้ไข

1. บูต Windows เข้าสู่ Safe Mode ผ่านทาง Windows Recovery Environment (WRE)
2. ไปที่ C:\Windows\System32\drivers\CrowdStrike
3. ค้นหาไฟล์ที่ตรงกับ “C-00000291*.sys” แล้วลบไฟล์นั้น
4. บูตโฮสต์ตามปกติ

เผื่อการแก้ไขที่มีวิธีการละเอียดยิ่งขึ้น ขอแนะนำวิธีแก้ปัญหา BSOD จาก CrownStrike ตามขั้นตอนดังกล่าว โดยเริ่มจาก

1. กดปุ่มเปิด-ปิดเครื่องหรือปุ่ม Power 3 – 4 ครั้ง โดยกด Power Button เพื่อบูตจนกว่าจะปรากฎหน้าต่าง Choose an Option เเสดงขึ้นมา
2. กด Troubleshoot
3. กด Advanced options
4. กด Startup Settings
5. กด Restart
6. กดปุ่ม F5
7. เลือกกดหมาย 5 (Enable safe mode with networking) โดยหน้าต่าง Administrator จะแสดงขึ้นมา ก่อนที่อุปกรณ์จะเข้าสู่ Safe Mode
8. ไปที่ C:\Windows\System32\drivers\CrowdStrike
9. ค้นหาไฟล์ที่ตรงกับ “C-00000291*.sys” แล้วลบไฟล์นั้น
10. กลับมาบูต Windwos ตามปกติหรือ Restart คอมพิวเตอร์อีกครั้ง

ทางด้าน อดัม แฮริสัน กรรมการผู้จัดการของ FTI Cybersecurity กล่าวว่าตามธรรมชาติแล้ว ปัญหาจะแก้ไขได้ยากมากเมื่อระบบอยู่ในลูปรีบูต “การแก้ไขด้วยตนเองจะต้องใช้เวลาพอสมควรกว่าที่ผู้ดูแลระบบจะนำไปใช้ CrowdStrike ไม่สามารถส่งการอัปเดตใหม่จากระยะไกลเพื่อแก้ไขได้ จึงต้องดำเนินการด้วยตนเองกับระบบแต่ละระบบ”

อดัมกล่าวว่า “พวกเขาสามารถแจ้งวิธีแก้ไขได้รวดเร็วและทั่วถึงที่สุดเท่าที่จะทำได้ ฉันคิดว่าการอัปเดตน่าจะหยุดให้บริการแล้ว ดังนั้นระบบใด ๆ ก็ตามที่ยังไม่ได้อัปเดตด้วยเหตุผลใดก็ตามก็ไม่ควรได้รับการอัปเดตที่ผิดพลาด”

เอียน ธอร์นตัน-ทรัมป์, CISO ของ Cyjax กล่าวว่า “CrowdStrike พยายามอย่างเต็มที่เพื่อดึงการอัปเดตและแนะนำตัวแทนรุ่นเก่าไม่ให้ทำการอัปเดตจนกว่าจะแก้ไขปัญหาได้”