CrowdStrike Falcon 제품으로 인한 Windows 시스템 비정상 종료 (블루스크린) 관련 조치

개요

CrowdStrike社가 2024년 7월 19일 04시 09분 (UTC+0)에 배포한 Falcon 제품군 Windows 시스템에 센서 구성 업데이트

해당 센서 구성 업데이트는 Falcon 플랫폼의 보호 메커니즘 부분

최신 패치 적용 시 윈도우 시스템 중 영향을 받는 시스템에서 시스템 충돌 및 블루스크린(Blue Screen of Death, BSOD) 초래

영향

2024년 7월 19일 04시 09분 (UTC+0) 부터 2024년 7월 19일 05시 27분 (UTC+0) 사이에 온라인 상태였던 Windows 버전 7.11 이상의 Falcon을 사용하는 시스템 충돌 (블루스크린)

TV 방송국, 은행, 항공사 등이 영향을 받으며 방송 중단, 업무 마비 등 문제

특히, 유럽에 있는 기업들이 업무를 시작하면서 문제 확산

조치 방법

Windows 시스템에서 파일은 아래 디렉터리에 존재

C:\Windows\System32\drivers\CrowdStrike

위 경로에 접근하여 “C-00000291-”로 시작하고 “.sys” 확장자로 끝나는 파일명을 찾는다.

해당 파일은 SYS 확장자로 끝나지만 커널 드라이버가 아니다.

291 파일은 Falcon이 Windows 시스템에서 명명된 파이프1 실행을 평가하는 방법을 제어하는 파일이다. Windows에서 일반, 프로세스 간, 시스템 간 통신에서 사용된다.

명명된 파이프1

<안전 모드에서 문제되는 파일 삭제>

안전 모드2로 부팅 → 복구 화면에서 ‘고급 복구 옵션 보기’ 클릭 → ‘문제 해결’ 클릭 → ‘고급 옵션’ 클릭 → ‘시작 설정’ 클릭 → ‘다시 시작’ 클릭 → 재 부팅 후 F4키를 눌러 안전모드에서 PC 시작
안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자) 실행
⇒ 윈도우 바 아래 검색에서 검색 후, 관리자 권한으로 실행 클릭
C:\Windows\System32\drivers\CrowdStrike 디렉터리로 이동
“C-00000291-”로 시작하고 “.sys” 확장자로 끝나는 파일 검색 후 삭제

안전 모드2 부팅 방법

주의

CrowdStrike가 유발한 기술 문제를 복구시켜 준다며 악성코드를 유포하고, CrowdStrike의 지원을 가장한 피싱 이메일을 통해 개인정보 입력을 유도한 사례가 확인됐다.
특히, 기업 IT 담당자나 보안 담당자에게 유포될 가능성이 높다.
따라서, 해당 메일 등에 대해 주의 해야된다.
2024-07-19 05:27 (UTC+0) 이후에 온라인으로 전환, 설치 및 프로비저닝 된 Windows는 영향을 받지 않아 상관 없다.
Mac이나 Linux 기반 호스트에는 영향이 없다.