La herramienta automatiza la eliminación del controlador problemático y está diseñada para simplificar el proceso de reparación, permitiendo que los dispositivos vuelvan a funcionar normalmente. Los administradores de TI deben usar una unidad USB con una partición de 32 GB o menos y recuperar las claves de BitLocker necesarias para ejecutar el script de eliminación.
Microsoft ha lanzado este domingo una herramienta de recuperación para encontrar y eliminar la actualización defectuosa de CrowdStrike Falcon, el que afectó a cerca de 8,5 millones de dispositivos de Windows el pasado viernes 19 de julio, en el que fue el incidente de ciberseguridad de mayor alcance visto hasta ahora a nivel global.
Las interrupciones significativas en los servicios de TI a nivel mundial impactaron en diversas industrias como aeropuertos, hospitales, bancos, empresas y agencias gubernamentales, y ha obligado a las entidades que se han visto perjudicadas a solucionar el problema utilizando como procedimiento el reinicio de los dispositivos afectados en Modo Seguro o en el Entorno de Recuperación, y eliminar manualmente el controlador problemático ubicado en C:\Windows\System32\drivers\CrowdStrike.
Dado que muchas organizaciones enfrentan la tarea de reparar cientos o miles de dispositivos, este proceso manual ha sido altamente complicado, consumiendo muchas horas de trabajo para los equipos TI, pero también afectando otras operaciones de las organizaciones.
Para simplificar este proceso, Microsoft ha lanzado una herramienta de recuperación personalizada que automatiza la eliminación de la actualización defectuosa de CrowdStrike, permitiendo que los dispositivos afectados vuelvan a funcionar normalmente.
En un boletín de soporte técnico publicado por Microsoft, la empresa indicó que «en respuesta al problema con el agente Falcon de CrowdStrike que afecta a clientes y servidores de Windows, hemos lanzado una herramienta USB que facilita el proceso de reparación para los administradores de TI”.
La herramienta de recuperación firmada por Microsoft está disponible en el Centro de descarga de Microsoft, en el siguiente enlace: https://go.microsoft.com/fwlink/?linkid=2280386
Para utilizar esta herramienta, el personal de TI necesita cumplir algunos aspectos técnicos como disponer de un cliente de Windows de 64 bits con al menos 8 GB de espacio, privilegios administrativos en este dispositivo, una unidad USB con al menos 1 GB de almacenamiento y, si es necesario, la clave de recuperación de BitLocker.
También es importante tener en cuenta que la unidad USB debe tener una partición de 32 GB o menos para formatearla en FAT32, necesario para arrancar el dispositivo.
En lo sustancial, la herramienta de recuperación se crea mediante un script de PowerShell descargado de Microsoft, que se debe ejecutar con privilegios administrativos. Este script formatea la unidad USB, crea una imagen WinPE personalizada y convirtiéndola en una unidad de arranque.
Luego, se puede iniciar el dispositivo afectado con la memoria USB y se ejecutará automáticamente un archivo por lotes llamado CSRemediationScript.bat.
Este archivo solicitará las claves de recuperación de BitLocker necesarias, que se pueden recuperar siguiendo ciertos pasos. Posteriormente, el script buscará y eliminará automáticamente el controlador defectuoso de CrowdStrike ubicado en C:\Windows\system32\drivers\CrowdStrike.
Al finalizar, el script pedirá presionar cualquier tecla para reiniciar el dispositivo. Una vez eliminado el controlador de CrowdStrike, el dispositivo debería arrancar normalmente en Windows.
El mayor desafío para los administradores de Windows es recuperar las claves de recuperación de BitLocker necesarias. Por lo tanto, estos pasos deben realizarse antes de intentar recuperar los dispositivos afectados.