Microsoft ha lanzado una herramienta de recuperación personalizada basada en WinPE para localizar y eliminar la actualización defectuosa de CrowdStrike que afectó a aproximadamente 8.5 millones de dispositivos Windows el viernes.
Ese día, una actualización defectuosa de CrowdStrike provocó bloqueos repentinos en millones de dispositivos Windows en todo el mundo, generando Pantallas Azules de la Muerte (BSOD) y bucles de reinicio incesantes.
Este error causó grandes interrupciones en el sector de TI, afectando a aeropuertos, hospitales, bancos, empresas y agencias gubernamentales globalmente.
Para solucionar el problema, los administradores debían reiniciar los dispositivos afectados en Modo Seguro o en el Entorno de Recuperación y eliminar manualmente el controlador defectuoso.
Dado que muchas organizaciones enfrentan cientos o incluso miles de dispositivos afectados, realizar estas correcciones manualmente puede ser complicado y muy lento.
Para asistir a los administradores de TI y al personal de soporte, Microsoft ha desarrollado una herramienta de recuperación que automatiza la eliminación de la actualización defectuosa de CrowdStrike, permitiendo que los dispositivos arranquen normalmente.
En respuesta al problema con el agente CrowdStrike Falcon que afecta a clientes y servidores Windows, hemos lanzado una herramienta USB para ayudar a los administradores de TI a agilizar el proceso de reparación. La herramienta de recuperación, firmada por Microsoft, está disponible en el Centro de Descargas de Microsoft.
A continuación, puedes eliminar CrowdStrike descargando la herramienta proporcionada por Microsoft mediante el siguiente botón:
Para utilizar la herramienta de recuperación, el personal de TI necesita un equipo Windows de 64 bits con al menos 8 GB de espacio libre, privilegios administrativos en el dispositivo, una unidad USB con al menos 1 GB de almacenamiento y una clave de recuperación de BitLocker si es necesario.
Es importante usar una unidad flash USB de 32 GB o menor, ya que unidades más grandes no se pueden formatear con FAT32, necesario para el arranque.
La herramienta de recuperación se crea mediante un script de PowerShell descargado de Microsoft, que debe ejecutarse con privilegios administrativos.
Al hacerlo, se formateará una unidad USB y se creará una imagen personalizada de WinPE, que se copiará en la unidad y se hará arrancable.
A continuación, puedes iniciar tu dispositivo Windows afectado utilizando la unidad USB.
Esto ejecutará automáticamente un archivo por lotes denominado CSRemediationScript.bat.
El archivo por lotes solicitará que ingreses las claves de recuperación de BitLocker, las cuales puedes recuperar siguiendo los pasos indicados.
A continuación, el script buscará automáticamente el controlador de kernel defectuoso de CrowdStrike en la carpeta C:\Windows\system32\drivers\CrowdStrike y, si lo encuentra, procederá eliminar CrowdStrike del sistema.
El archivo por lotes no genera ningún registro ni copia de seguridad del controlador eliminado.
Al finalizar el proceso, el script te pedirá que presiones cualquier tecla para reiniciar el dispositivo.
Una vez que el controlador de CrowdStrike haya sido eliminado, el dispositivo debería reiniciarse y volver a iniciar Windows normalmente.
El principal desafío para los administradores de Windows es obtener las claves de recuperación de BitLocker necesarias.
Por lo tanto, es crucial identificar y recuperar estas claves antes de proceder con la recuperación de los dispositivos.
