- Microsoft đã phát hành một công cụ phục hồi WinPE tùy chỉnh để tìm và xóa bản cập nhật CrowdStrike bị lỗi khiến khoảng 8,5 triệu thiết bị Windows bị sập vào thứ sáu tuần trước.
Vào thứ sáu, CrowdStrike đã phát hành bản cập nhật lỗi khiến hàng triệu thiết bị Windows trên toàn thế giới đột nhiên gặp sự cố với “Màn hình xanh chết chóc” (BSOD) và khởi động lại liên tục.
Vấn đề này gây ra sự cố ngừng hoạt động CNTT nghiêm trọng, khi các công ty đột nhiên phát hiện rằng tất cả các thiết bị Windows của họ không còn hoạt động nữa. Sự cố này ảnh hưởng đến các sân bay, bệnh viện, ngân hàng, công ty và cơ quan chính phủ trên toàn thế giới.
Để giải quyết bản sửa lỗi, quản trị viên cần khởi động lại các thiết bị Windows bị ảnh hưởng vào Safe More hoặc Recovery Environment và xóa thủ công kernel driver bị lỗi khỏi thư mục C:\Windows\System32\drivers\CrowdStrike.
Tuy nhiên, vì các tổ chức phải đối mặt với hàng trăm/hàng nghìn thiết bị Windows bị ảnh hưởng nên việc thực hiện sửa lỗi theo cách thủ công có thể gặp nhiều vấn đề, tốn thời gian và khó khăn.
Nhằm hỗ trợ giải quyết vấn đề này, Microsoft đã phát hành một công cụ phục hồi tùy chỉnh giúp tự động xóa bản cập nhật CrowdStrike lỗi khỏi các thiết bị Windows để chúng có thể khởi động lại bình thường.
 |
"Để giải quyết sự cố liên quan đến CrowdStrike Falcon agent ảnh hưởng đến máy khách và máy chủ Windows, chúng tôi đã phát hành một công cụ USB để giúp đẩy nhanh quá trình sửa chữa", bản tin hỗ trợ của Microsoft cho biết.
"Bạn có thể tìm thấy Công cụ khôi phục Microsoft đã được xác minh (signed) trong Trung tâm tải xuống của Microsoft tại https://go.microsoft.com/fwlink/?linkid=2280386."
Để sử dụng công cụ khôi phục của Microsoft, bạn cần có máy khách Windows 64-bit có dung lượng tối thiểu 8 GB, quyền quản trị trên thiết bị này, ổ USB có dung lượng lưu trữ tối thiểu 1 GB và khóa khôi phục Bitlocker nếu cần.
Lưu ý rằng bạn sẽ cần ổ đĩa flash USB có dung lượng 32GB hoặc nhỏ hơn, nếu không bạn sẽ không thể định dạng nó bằng FAT32, định dạng bắt buộc để khởi động ổ đĩa.
Công cụ khôi phục được tạo thông qua tập lệnh PowerShell tải xuống từ Microsoft, cần chạy với quyền quản trị (Administrative). Khi chạy, nó sẽ định dạng ổ USB và sau đó tạo WinPE image tùy chỉnh, được sao chép vào ổ đĩa và có thể khởi động.
Sau đó, bạn có thể khởi động thiết bị Windows bị ảnh hưởng bằng khóa USB và nó sẽ tự động chạy tập lệnh có tên CSRemediationScript.bat. Tệp này sẽ nhắc bạn nhập khóa khôi phục Bitlocker cần thiết, có thể được lấy lại bằng các bước sau.
 |
Sau đó, tập lệnh sẽ tìm kiếm CrowdStrike kernel driver bị lỗi trong thư mục C:\Windows\system32\drivers\CrowdStrike và tự động xóa nó nếu phát hiện.
Khi hoàn tất, tập lệnh sẽ nhắc bạn nhấn phím bất kỳ và thiết bị của bạn sẽ khởi động lại.
Lúc này driver CrowdStrike đã bị xóa, thiết bị sẽ khởi động lại vào Windows và có thể sử dụng lại.
Tuy nhiên, trở ngại lớn nhất đối với quản trị viên Windows là việc lấy lại khóa khôi phục Bitlocker. Do đó, việc xác định xem có cần thiết hay không và khôi phục nó nên là những bước đầu tiên cần thực hiện trước khi cố gắng khôi phục thiết bị.
PV ( bleepingcomputer.com/tinnhiemmang.vn)
