如果您组织的运行 Windows 的计算机出现蓝屏死机 (BSOD) 或进入引导循环,则您的公司可能正在使用 VMware 的炭黑端点检测和响应 (EDR) 解决方案。VMware 也确认了这个问题。
在今天早些时候发布的安全公告中,该公司表示已意识到该漏洞,并解释说最近对 Carbon Black 威胁研究规则集的更新是罪魁祸首,因此,该问题已通过更新回滚策略得到解决。此外,该公司还提供了临时解决方法。
整个问题以及解决方法如下:
端点标准:Windows 设备上的突然蓝屏(2022 年 8 月 23 日)
环境
- Carbon Black Cloud 控制台:所有版本
- 炭黑云传感器:3.6.xx – 3.7.xx
- Microsoft Windows:所有支持版本
症状
- 设备在启动时进入蓝屏
- 停止代码可能会显示“PFN_LIST_CORRUPT”
原因
- 在内部测试未显示问题迹象后,更新的威胁研究规则集已推广到 Prod01、Prod02、ProdEU、ProdSYD 和 ProdNRT
解析度
- VMware Carbon Black 已回滚规则集,当机器签入时,它们将获得更新的规则集并自动解析。
临时解决方法
- 通过 Carbon Black Cloud Console 将受影响的传感器置于旁路模式,以允许它们成功启动并删除规则集
- 一小部分受影响的设备可能需要额外的解决方法,需要重新启动到安全模式,如果是这样,请打开如下所示的支持案例
正文完