Scopri le *opzioni di recupero* per le Virtual Machines di Azure *affette* da problemi legati all’agente *CrowdStrike Falcon*.
Recentemente, a partire dal 19 luglio 2024, alcune *macchine Windows* dotate dell’agente *CrowdStrike Falcon* hanno riportato problemi di inattività e avvio su vari *cloud* e piattaforme locali. Questo problema ha causato notevoli disagi agli utenti, inclusi quelli all’interno dell’infrastruttura di *Azure*.
Il comunicato pubblico di CrowdStrike ha affrontato la questione, fornendo consigli per aggirare i problemi. In collaborazione con *Microsoft*, CrowdStrike ha implementato modifiche alla configurazione di avvio delle VM colpite per scaricare correttamente i file di firma aggiornati.
Opzioni di recupero per le VM Azure
La comunicazione diretta tramite *Azure Service Health* ha reso noto che i clienti possono richiedere supporto a *Microsoft* tramite il portale Azure. L’intervento può essere facilmente autorizzato dal proprietario dell’abbonamento o da un contribuente cliccando il simbolo “?” nella barra di navigazione del portale.
Passaggi raccomandati:
- Tentare il riavvio delle VM colpite tramite il *portale Azure* oppure utilizzando Azure CLI o Azure Shell (https://shell.azure.com).
In alcuni casi, possono essere necessari diversi riavvii affinché l’*agente CrowdStrike* si aggiorni correttamente. Se i riavvii non risolvono il problema, seguite le opzioni di recupero supplementari illustrate di seguito.
Opzioni aggiuntive di recupero:
Opzione 1: Ripristinare da un backup
Se possibile, ripristinate una versione precedentemente funzionante della VM da un *backup* realizzato prima del 19 luglio 2024. Gli utenti di Azure Backup possono seguire le indicazioni presenti nella guida ufficiale come ripristinare VM Azure.
Opzione 2: Rimuovere il file problematico
Potete tentare di rimuovere direttamente il file *C-00000291*.sys sul disco. Per eseguire questa operazione, utilizzate la CLI di Azure:
- Creare una VM di soccorso con il comando:
az vm repair create -g {RGNAME} -n {BROKENVMNAME} --verbose
Per VM criptate, utilizzate:
az vm repair create -g {RGNAME} -n {BROKENVMNAME} --unlock-encrypted-vm --verbose
- Eseguire il comando di mitigazione per risolvere il problema:
az vm repair run -g {RGNAME} -n {BROKENVMNAME} --run-id win-crowdstrike-fix-bootloop --run-on-repair --verbose
- Ripristinare il disco OS riparato con:
az vm repair restore -g {RGNAME} -n {BROKENVMNAME} --verbose
Questi passaggi funzionano per dischi sia gestiti che non. In caso di problemi di capacità, provate nuovamente dopo un po’.
Opzione 3: Utilizzare la guida di risoluzione
Seguite la guida disponibile per riparare i dischi OS attach facendo riferimento a: guida di risoluzione tramite il portale Azure. Dopo aver collegato il disco alla VM di riparazione, provate a cancellare il file “C-00000291*.sys” dalla directory “Windows/System32/Drivers/CrowdStrike”.
Nota finale:
Infine, *CrowdStrike* ha rimosso l’aggiornamento problematico rendendolo non più scaricabile. Se i problemi persistono, contattate direttamente CrowdStrike. *Microsoft* e CrowdStrike stanno continuando a esplorare ulteriori soluzioni per mitigare l’impatto di questo problema.