Microsoft heeft een aangepaste WinPE-hersteltool uitgebracht om de defecte CrowdStrike-update te vinden en te verwijderen die vrijdag naar schatting 8,5 miljoen Windows-apparaten liet crashen.

Op vrijdag heeft CrowdStrike een defecte update verspreid die ervoor zorgde dat miljoenen Windows-apparaten wereldwijd plotseling crashten met een Blue Screen of Death (BSOD) en in herstartlussen terechtkwamen.

Deze fout zorgde voor enorme IT-storingen, aangezien bedrijven plotseling ontdekten dat al hun Windows-apparaten niet meer werkten. Deze IT-storingen troffen luchthavens, ziekenhuizen, banken, bedrijven en overheidsinstanties wereldwijd.

Om dit probleem op te lossen moesten beheerders getroffen Windows-apparaten opnieuw opstarten in de Veilige Modus of de Herstelomgeving en handmatig de buggy kernel driver verwijderen uit de C:WindowsSystem32driversCrowdStrike-map.

Echter, aangezien organisaties te maken hebben met honderden, zo niet duizenden getroffen Windows-apparaten, kan het handmatig uitvoeren van deze oplossingen problematisch, tijdrovend en moeilijk zijn.

Om IT-beheerders en ondersteunend personeel te helpen, heeft Microsoft een aangepaste hersteltool uitgebracht die de verwijdering van de defecte CrowdStrike-update van Windows-apparaten automatiseert, zodat ze weer normaal kunnen opstarten.

“Als vervolg op het probleem met de CrowdStrike Falcon-agent dat Windows-clients en servers beïnvloedt, hebben we een USB-tool vrijgegeven om IT-beheerders te helpen het herstelproces te versnellen,” aldus een Microsoft-ondersteuningsbulletin.

“De getekende Microsoft Recovery Tool is te vinden in het Microsoft Download Center: https://go.microsoft.com/fwlink/?linkid=2280386.”

Om de hersteltool van Microsoft te gebruiken, heeft het IT-personeel een Windows 64-bits client nodig met ten minste 8 GB ruimte, beheerdersrechten op dit apparaat, een USB-station met ten minste 1 GB opslagruimte en een Bitlocker-herstelcode indien nodig.

Opmerking: U heeft een USB-stick van 32 GB of kleiner nodig, omdat u deze anders niet kunt formatteren met FAT32, wat vereist is om de drive op te starten.

De hersteltool wordt gemaakt via een PowerShell-script dat wordt gedownload van Microsoft en met beheerdersrechten moet worden uitgevoerd. Bij uitvoering formatteert het een USB-station en maakt vervolgens een aangepaste WinPE-image, die naar de drive wordt gekopieerd en opstartbaar wordt gemaakt.

U kunt vervolgens uw getroffen Windows-apparaat opstarten met de USB-sleutel, en deze zal automatisch een batchbestand met de naam CSRemediationScript.bat uitvoeren.

Dit batchbestand zal u vragen om eventuele benodigde Bitlocker-herstelcodes in te voeren, die u kunt ophalen volgens deze stappen.

Het script zal vervolgens zoeken naar de defecte CrowdStrike kernel driver in de C:Windowssystem32driversCrowdStrike-map en, indien deze wordt gedetecteerd, automatisch verwijderen.

Tests en beoordelingen van BleepingComputer met betrekking tot het batchbestand tonen aan dat er geen logboeken of een back-up van de CrowdStrike driver zullen worden aangemaakt.

Wanneer het proces is voltooid, zal het script u vragen om op een willekeurige toets te drukken, en uw apparaat zal opnieuw opstarten.

Nu de CrowdStrike driver is verwijderd, zou het apparaat weer in Windows moeten opstarten en weer beschikbaar moeten zijn.

Helaas is de grootste hindernis voor Windows-beheerders het verkrijgen van eventuele benodigde Bitlocker-herstelcodes.

Daarom moeten het bepalen of er een nodig is en het terugvinden ervan de eerste stappen zijn die genomen moeten worden alvorens te proberen apparaten te herstellen.