Microsoft ออกประกาศด้านความปลอดภัยสำหรับ Windows ประจำเดือนกรกฎาคม 2024 โดยอธิบายปัญหาที่เกิดขึ้นเกี่ยวกับ BitLocker ภายหลังการอัปเดต Windows และกรณีตัวอัปเดต Falcon Sensor ของ CrowdStrike มีปัญหากับ Windows
ปัญหา BitLocker
ในประกาศระบุว่าภายหลังจากที่ดาวน์โหลดตัว Security Update ของ Windows ในเวอร์ชัน KB5040442 ที่ปล่อยไปเมื่อวันที่ 9 กรกฎาคม ผู้ใช้งานที่เปิดการตั้งค่า Device Encryption (การเข้ารหัสอุปกรณ์) อาจเจอหน้าจอ BitLocker Recovery Screen หลังจากบูตเครื่องขึ้นมา ซึ่งไม่ใช่หน้าจอปกติ และจำเป็นต้องมี Recovery Key เพื่อปลดล็อกอุปกรณ์
สำหรับ BitLocker เป็นซอฟต์แวร์เข้ารหัสไฟล์ในอุปกรณ์ที่ติดตั้งระบบปฏิบัติการ Windows โดยปกติแล้วหน้าที่ของมันคือการป้องกันไม่ให้คนอื่นเข้าใช้งานอุปกรณ์นั้นโดยไม่ได้รับอนุญาตได้ แต่ถ้าเจ้าของอุปกรณ์เจอหน้าจอนั้นเอง ก็จำเป็นจะต้องมี Recovery Key หรือกุญแจสำหรับปลดล็อกและฟื้นฟูระบบปฏิบัติการให้กลับมาใช้ได้เหมือนเดิม
โดย Microsoft อธิบายทางแก้ขั้นต้นด้วยการไปเอา Recovery Key จากบัญชี Microsoft ของผู้ที่ตั้งค่า BitLocker อยู่ (รายละเอียดดูตามคลิปด้านบน)
Windows ในเวอร์ชันที่ได้รับผลจากความผิดพลาดนี้ได้แก่ Windows 11 เวอร์ชัน 23H2, 22H2, 21H2, 22H2 และ Windows 10 เวอร์ชัน 21H2 ขณะที่ เซิร์ฟเวอร์ได้แก่ Windows Server 2022, 2019, 2016, 2012 R2, 2012, 2008 R2 และ 2008
กรณี CrowdStrike
Microsoft ระบุว่าอุปกรณ์ที่ได้รับผลกระทบจากความผิดพลาดของตัวอัปเดตในซอฟต์แวร์ Falcon Sensor ของ CrowdStrike อาจขึ้นจอฟ้าหรือรีสตาร์ตตัวเองซ้ำไปซ้ำมา
บริษัทได้ออกเครื่องมือและคำแนะนำด้านความปลอดภัยในช่วงระหว่างวันที่ 19 – 25 โดยมีรายละเอียด ดังนี้
- 19 กรกฎาคม – 20 กรกฎาคม มีการปล่อยบทความ Knowledge Base ในชื่อ KB5042421 และ KB5042426 ซึ่งอธิบายวิธีการแก้ปัญหาในอุปกรณ์ Client และเซิร์ฟเวอร์ ด้วยการลบไฟล์ C-00000291*.sys พร้อมปล่อยเครื่องมือสำหรับกู้คืนระบบตัวใหม่ในลิงก์นี้ด้วย เครื่องมือนี้จะช่วยเพิ่มทางเลือกในการกู้คืนระบบ
- 21 กรกฎาคม เพิ่มตัวเลือกการกู้คืนระบบใหม่ 2 ตัวเลือก ให้กับเครื่องกู้คืนด้านบน รวมถึงเพิ่มความสามารถในการสร้างไฟล์ประเภท ISO หรือ USB การแก้ปัญหาการตรวจพบ ADK ภายหลังจากมีการติดตั้ง Windows Driver Kit และแก้ปัญหาการตรวจสอบขนาดดิสก์ที่ผิดพลาด
- 22 กรกฎาคม มีการเพิ่มตัวเลือกการแก้ไขปัญหาใน Client และเซิร์ฟเวอร์เพิ่มอีก 1 ตัวเลือกสำหรับอุปกรณ์ สำหรับกรณีที่หากใช้ 2 ตัวเลือกข้างบนแล้วยังแก้ปัญหาไม่ได้ โดยเป็นการใช้รูปแบบการกู้คืนในแบบ PXE (Preboot Execution Environment) ในการแก้ปัญหาเพิ่มเติม
- 25 กรกฎาคม ออกคำแนะนำในการเตรียมรับมือเหตุในลักษณะเดียวกันอีกในอนาคต
- แนะนำให้มีแผนบริหารความต่อเนื่องทางธุรกิจ (BCP) และแผนรับมือเหตุฉุกเฉินร้ายแรง (MIRP) ที่มีแนวทางในการตอบโต้และฟื้นฟูการทำงานของระบบ และการขอความช่วยเหลือ
- แนะนำให้มีการสำรองข้อมูลที่ปลอดภัยและบ่อยครั้ง ทั้งบนคลาวด์ และซอฟต์แวร์โซลูชันที่ช่วยในการสำรองข้อมูล
- มีเครื่องมือในการกู้คืนอุปกรณ์ Windows ที่รวดเร็ว
- มีแพลตฟอร์มในการทดสอบการอัปเดตซอฟต์แวร์ที่สามารถจำกัดวงอุปกรณ์ที่จะทดสอบตัวอัปเดตใหม่ได้
- อัปเดตและเปิดใช้งานฟีเจอร์ด้านความมั่นคงปลอดภัยของ Windows ให้เป็นค่าเริ่มต้น
- แนะนำให้ใช้คลาวด์ในการจัดการอุปกรณ์ Windows
สำหรับแนวทางในการแก้ปัญหาจาก CrowdStrike Falcon ก็ยังคงแนะนำให้เปิด Windows ด้วย Safe Mode หรือ Windows Recovery Environment จากนั้นเข้าไปลบไฟล์ C-00000291*.sys จากนั้นรีสตาร์ตอุปกรณ์ ซึ่งในบางกรณีอาจต้องปลดล็อกอุปกรณ์ที่ใช้ BitLocker ด้วย