Microsoft a publié un outil de récupération WinPE personnalisé pour trouver et supprimer la mise à jour défectueuse de CrowdStrike qui a planté environ 8,5 millions d'appareils Windows vendredi.

Vendredi, CrowdStrike a repoussé une mise à jour défectueuse qui a amené des millions d'appareils Windows dans le monde à s'écraser soudainement avec un écran bleu de la mort (BSOD) et à entrer dans des boucles de redémarrage.

Ce problème a provoqué des coupures massives de technologies de l'information, les entreprises ayant soudainement constaté que tous leurs appareils Windows ne fonctionnaient plus.

Ces coupures de courant ont touché les aéroports, les hôpitaux, les banques, les entreprises et les agences gouvernementales du monde entier.

Pour résoudre le correctif, les administrateurs nécessaires pour redémarrer les dispositifs Windows impactés dans Safe More ou le Recovery Environment et retirent manuellement le pilote buggy kernel du dossier C:-Windows-System32-drivers-CrowdStrike.

Cependant, comme les organisations sont confrontées à des centaines, voire à des milliers, d'appareils Windows impactés, l'exécution manuelle de ces corrections peut être problématique, longue et difficile.

Pour aider les administrateurs informatiques et le personnel de soutien, Microsoft a publié un outil de récupération personnalisé qui automatise la suppression de la mise à jour buggy CrowdStrike des appareils Windows afin qu'ils puissent à nouveau démarrer normalement.

«À titre de suivi de l'agent CrowdStrike Falcon, qui a un impact sur les clients et les serveurs de Windows, nous avons publié un outil USB pour aider les administrateurs informatiques à accélérer le processus de réparation», peut-on lire dans un bulletin d'assistance Microsoft.

"L'outil de récupération signé de Microsoft peut être trouvé dans le centre de téléchargement de Microsoft: https://go.microsoft.com/fwlink/?linkid-2280386."

Pour utiliser l'outil de récupération de Microsoft, le personnel informatique a besoin d'un client Windows 64 bits avec au moins 8 Go d'espace, des privilèges administratifs sur cet appareil, un lecteur USB avec au moins 1 Go de stockage, et une clé de récupération Bitlocker si nécessaire.

Il convient de noter que vous aurez besoin d'une clé USB de 32 Go ou plus petite, sinon vous ne pourrez pas la formater avec FAT32, qui est nécessaire pour démarrer le lecteur.

L'outil de récupération est créé par un script PowerShell téléchargé à partir de Microsoft, qui doit fonctionner avec des privilèges administratifs.

Lorsqu'il est exécuté, il formatera une clé USB puis créera une image WinPE personnalisée, qui est copiée sur le lecteur et rendue démarrable.


@ Création de l'outil de récupération Microsoft CrowdStrike


Vous pouvez ensuite démarrer votre appareil Windows impacté avec la clé USB, et il exécutera automatiquement un fichier batch nommé CSRemediationScript.bat.


@ Microsoft Recovery Tool enlevant le mauvais pilote CrowdStrike



Ce fichier batch vous invitera à entrer toutes les clés de récupération Bitlocker nécessaires, qui peuvent être récupérées à l'aide de ces étapes.


Le script recherchera alors le pilote buggy CrowdStrike kernel dans le dossier C:-Windows-system32-drivers-CrowdStrike, et s'il est détecté, supprimer automatiquement.

Les tests de BleepingComputer et l'examen du fichier batch montrent qu'il ne créera aucun journal ou sauvegarde du pilote CrowdStrike.

Une fois terminé, le script vous demandera d'appuyer sur n'importe quelle clé, et votre appareil redémarre.

Maintenant que le pilote CrowdStrike a été supprimé, le dispositif doit redémarrer Windows et être à nouveau disponible.

Malheureusement, le plus grand obstacle de Windows admins est de récupérer toutes les clés de récupération Bitlocker nécessaires.

Par conséquent, déterminer si une chose est nécessaire et le récupérer devrait être la première mesure prise avant de tenter de récupérer des dispositifs.