Microsoft a publié un outil de récupération WinPE personnalisé pour trouver et supprimer la mise à jour CrowdStrike défectueuse qui a planté environ 8,5 millions d’appareils Windows vendredi.
Vendredi, CrowdStrike a publié une mise à jour défectueuse qui a fait planter soudainement des millions d’appareils Windows dans le monde entier avec un Écran bleu de la mort (BSOD) et entrer dans des boucles de redémarrage.
Ce problème a provoqué des pannes informatiques massives, car les entreprises ont soudainement constaté que tous leurs appareils Windows ne fonctionnaient plus. Ces pannes informatiques ont affecté les aéroports, les hôpitaux, les banques, les entreprises et les agences gouvernementales du monde entier.
Pour résoudre le problème, les administrateurs devaient redémarrer les périphériques Windows affectés en mode sans échec ou dans l’environnement de récupération et supprimer manuellement le pilote de noyau bogué du C:\Windows\System32\drivers\CrowdStrike dossier.
Cependant, alors que les organisations font face à des centaines, voire des milliers, d’appareils Windows affectés, l’exécution manuelle de ces correctifs peut être problématique, chronophage et difficile.
Pour aider les administrateurs informatiques et le personnel de support, Microsoft a publié un outil de récupération personnalisé qui automatise la suppression de la mise à jour boguée CrowdStrike des appareils Windows afin qu’ils puissent à nouveau démarrer normalement.
« Suite au problème de l’agent CrowdStrike Falcon affectant les clients et serveurs Windows, nous avons publié un outil USB pour aider les administrateurs informatiques à accélérer le processus de réparation », lit-on dans un bulletin de support Microsoft.
« L’outil de récupération Microsoft signé se trouve dans le Centre de téléchargement Microsoft: https://go.microsoft.com/fwlink/?linkid=2280386. »
Pour utiliser l’outil de récupération de Microsoft, le personnel informatique a besoin d’un client Windows 64 bits avec au moins 8 Go d’espace, de privilèges administratifs sur cet appareil, d’une clé USB avec au moins 1 Go de stockage et d’une clé de récupération Bitlocker si nécessaire.
Il convient de noter que vous aurez besoin d’un lecteur flash USB doté d’une partition de 32 Go ou moins, sinon vous ne pourrez pas le formater avec FAT32, ce qui est nécessaire pour démarrer le lecteur.
L’outil de récupération est créé via un script PowerShell téléchargé à partir de Microsoft, qui doit s’exécuter avec des privilèges d’administrateur. Une fois exécuté, il formatera un lecteur USB, puis créera une image WinPE personnalisée, qui sera copiée sur le lecteur et rendue amorçable
Vous pouvez ensuite démarrer votre appareil Windows affecté avec la clé USB, et il exécutera automatiquement un fichier batch nommé CSRemediationScript.chauve-souris.
Ce fichier batch vous invitera à entrer toutes les clés de récupération Bitlocker nécessaires, qui peuvent être récupérées en procédant comme suit.
Le script recherchera ensuite le pilote de noyau CrowdStrike bogué dans le C:\Windows\system32\drivers\CrowdStrike dossier, et s’il est détecté, supprimez-le automatiquement.
Les tests de Breachtrace et l’examen du fichier batch montrent qu’il ne créera aucun journal ni sauvegarde du pilote CrowdStrike.
Une fois terminé, le script vous invitera à appuyer sur n’importe quelle touche et votre appareil redémarrera.
Maintenant que le pilote CrowdStrike a été supprimé, le périphérique devrait redémarrer sous Windows et être à nouveau disponible.
Malheureusement, le plus gros obstacle des administrateurs Windows est la récupération de toutes les clés de récupération Bitlocker nécessaires.
Par conséquent, déterminer si un est nécessaire et le récupérer devrait être la première étape à suivre avant de tenter de récupérer des périphériques.