VMware は、Carbon Black が実際に Windows BSOD とブート ループを引き起こすことを確認しています

組織の Windows コンピュータでブルー スクリーン (BSOD) またはブート ループが発生している場合、企業は VMware ソリューションを使用して Carbon Black (EDR) エンドポイントを検出して対応している可能性があります。VMware もこの問題を確認しています。

本日公開されたセキュリティ速報で、同社はバグを認識しており、犯人は Carbon Black Threat Investigation Rulesets の最近の更新であると説明しているため、更新のロールバック ポリシーで問題は解決されました。さらに、同社は一時的な回避策も提供しました。

問題全体と回避策を以下に示します。

Endpoint Standard: Windows デバイスでブルー スクリーンが点滅する (2022 年 8 月 23 日)

環境

• Carbon Black クラウド コンソール: すべてのバージョン
• すす雲センサー: 3.6.xx – 3.7.xx
• Microsoft Windows: サポートされているすべてのバージョン

症状

• 起動時にデバイスがブルー スクリーンになる
• 停止コードに「PFN_LIST_CORRUPT」が表示される場合があります。

原因

• 内部テストで問題の兆候が見られなかった後、更新された脅威調査ルール セットが Prod01、Prod02、ProdEU、ProdSYD、および ProdNRT に展開されました。

許可

• VMware Carbon Black はルール セットをロールバックしました。マシンが登録されると、更新されたルール セットと自動解決を受け取ります。

一時的な解決策

• 影響を受けるセンサーを Carbon Black Cloud コンソールからバイパス モードにして、正常に起動し、ルールセットを削除できるようにします。
• 影響を受けるデバイスのごく一部については、セーフ モードでの再起動を必要とする追加の回避策が必要になる場合があります。その場合は、以下に示すようにサポート チケットを開いてください。

VMware は、ナレッジ ベース (KB) の記事で追加情報とリソースも提供しています。影響を受けるユーザーは、この問題に関する今後の更新に注意することを強くお勧めします。

経由：@TGesches（ツイッター）