Microsoft a publié un outil de récupération WinPE personnalisé pour rechercher et supprimer la mise à jour défectueuse de CrowdStrike qui a fait planter environ 8,5 millions d'appareils Windows vendredi.
Vendredi, CrowdStrike a publié une mise à jour défectueuse qui a provoqué le crash soudain de millions d'appareils Windows dans le monde entier avec un écran bleu de la mort (BSOD) et l'entrée dans des boucles de redémarrage.
Ce problème a provoqué des pannes informatiques massives, les entreprises ayant soudainement constaté que tous leurs appareils Windows ne fonctionnaient plus. Ces pannes informatiques ont touché des aéroports, des hôpitaux, des banques, des entreprises et des agences gouvernementales du monde entier.
Pour résoudre le correctif, les administrateurs devaient redémarrer les appareils Windows concernés dans Safe More ou l'environnement de récupération et supprimer manuellement le pilote de noyau bogué du dossier C:\Windows\System32\drivers\CrowdStrike.
Cependant, étant donné que les organisations sont confrontées à des centaines, voire des milliers, d’appareils Windows concernés, l’exécution manuelle de ces correctifs peut s’avérer problématique, longue et difficile.
Pour aider les administrateurs informatiques et le personnel de support, Microsoft a publié un outil de récupération personnalisé qui automatise la suppression de la mise à jour buggée de CrowdStrike des appareils Windows afin qu'ils puissent à nouveau démarrer normalement.
« Suite au problème de l'agent CrowdStrike Falcon affectant les clients et les serveurs Windows, nous avons publié un outil USB pour aider les administrateurs informatiques à accélérer le processus de réparation », peut-on lire dans un article. Bulletin d'assistance Microsoft.
« L'outil de récupération Microsoft signé est disponible dans le centre de téléchargement Microsoft : https://go.microsoft.com/fwlink/?linkid=2280386 » . «
Pour utiliser l'outil de récupération de Microsoft, le personnel informatique a besoin d'un client Windows 64 bits avec au moins 8 Go d'espace, des privilèges administratifs sur cet appareil, une clé USB avec au moins 1 Go de stockage et une clé de récupération Bitlocker si nécessaire.
Il convient de noter que vous aurez besoin d'une clé USB de 32 Go ou moins, sinon vous ne pourrez pas la formater avec FAT32, qui est nécessaire pour démarrer la clé.
L'outil de récupération est créé via un script PowerShell téléchargé depuis Microsoft, qui doit être exécuté avec des privilèges d'administrateur. Une fois exécuté, il formate une clé USB, puis crée une image WinPE personnalisée, qui est copiée sur le lecteur et rendue amorçable.
Vous pouvez ensuite démarrer votre appareil Windows impacté avec la clé USB, et il exécutera automatiquement un fichier batch nommé CSRemediationScript.bat.
Ce fichier batch vous invitera à saisir toutes les clés de récupération Bitlocker nécessaires, qui peuvent être récupérées à l'aide de ces étapes.
Le script recherchera ensuite le pilote de noyau CrowdStrike bogué dans le dossier C:\Windows\system32\drivers\CrowdStrike et, s'il est détecté, le supprimera automatiquement.
Les tests et l'examen du fichier batch par BleepingComputer montrent qu'il ne créera aucun journal ni aucune sauvegarde du pilote CrowdStrike.
Une fois terminé, le script vous invitera à appuyer sur n'importe quelle touche et votre appareil redémarrera.
Maintenant que le pilote CrowdStrike a été supprimé, l'appareil devrait redémarrer sous Windows et être à nouveau disponible.
Malheureusement, le plus gros obstacle pour les administrateurs Windows est de récupérer les clés de récupération Bitlocker nécessaires.
Par conséquent, déterminer si un appareil est nécessaire et le récupérer doivent être les premières étapes à suivre avant de tenter de récupérer des appareils.
