Server dan workstation Windows di lusinan organisasi mulai mogok lebih awal hari ini karena masalah yang disebabkan oleh versi tertentu dari solusi keamanan titik akhir Carbon Black VMware.
Menurut beberapa laporan, sistem di lebih dari 50 organisasi mulai menampilkan layar biru kematian yang menakutkan (BSOD) sedikit setelah pukul 15:00 (GMT+1) hari ini.
Akar masalahnya adalah seperangkat aturan yang diterapkan hari ini ke Carbon Black Cloud Sensor 3.6.0.1979 – 3.8.0.398 yang menyebabkan perangkat mogok dan menampilkan layar biru saat startup, menolak akses ke perangkat tersebut.
Sistem operasi Microsoft Windows yang terpengaruh oleh masalah ini adalah Windows 10 x64, Server 2012 R2 x64, Server 2016 x64, dan Server 2019 x64.
Pada sistem yang terpengaruh oleh masalah ini, kode berhenti mungkin mengidentifikasi kesalahan sebagai “PFN_LIST_CORRUPT.”
Tim Geschwindt, seorang penanggap insiden untuk S-RM Cyber, mengatakan bahwa mulai pukul 15:30 (GMT+1), klien mulai mengeluh bahwa server dan workstation mereka mogok dan mencurigai Carbon Black sebagai penyebabnya.
Setelah menyelidiki, peneliti menentukan bahwa semua klien yang menjalankan sensor Carbon Black 3.7.0.1253 terpengaruh. “Mereka tidak bisa boot ke perangkat mereka sama sekali. Selesai, jangan pergi, ”kata Geschwindt.
Seorang admin mengatakan bahwa mereka memiliki sekitar “500 titik akhir BSOD di seluruh perkebunan kami dari sekitar pukul 15:15 waktu Inggris.”
Tampaknya ada konflik antara Carbon Black dan AV signature pack 8.19.22.224.
VMware menjelaskan dalam basis pengetahuan hari ini bahwa “set aturan Penelitian Ancaman yang diperbarui diluncurkan ke Prod01, Prod02, ProdEU, ProdSYD, dan ProdNRT setelah pengujian internal tidak menunjukkan tanda-tanda masalah.”
Investigasi sedang berlangsung sekarang dan aturan yang merepotkan sedang digulirkan kembali, yang diharapkan dapat menghilangkan masalah.
Sebagai solusi sementara, VMware merekomendasikan untuk menempatkan sensor ke mode Bypass melalui Carbon Black Cloud Console. Ini memungkinkan perangkat yang terpengaruh untuk melakukan booting dengan sukses sehingga kumpulan aturan yang salah dapat dihapus.
VMware menyarankan klien yang mengalami masalah ini untuk membuka kasus dukungan dan menyertakan info berikut: Org_Key, Nama Perangkat, ID Perangkat, dan Sistem Operasi.
Pembaruan [23 Agustus, 17:50]:
“VMware Carbon Black menyadari masalah yang memengaruhi sejumlah titik akhir pelanggan, di mana versi sensor lama tertentu dipengaruhi oleh pembaruan kemampuan pencegahan perilaku kami. Masalah telah diidentifikasi dan diperbaiki, dan VMware Carbon Black bekerja dengan pelanggan yang terkena dampak. .”
Sumber: Bleeping Computer