A VMware admitiu que uma atualização em algumas versões de sua solução de endpoint Carbon Black é responsável por BSODs e loops de inicialização em máquinas Windows depois que várias organizações foram afetadas pelo problema.
O problema – onde Os PCs começaram a inicializar em telas azuis, algumas das quais exibiam o código de parada PFN_LIST_CORRUPT – aparentemente causado por uma mudança no conjunto de regras da empresa, que concordou em ser adquirida pela Broadcom em maio em um acordo que deve ser fechado no próximo ano.
Os usuários do produto EDR (Endpoint Detection and Response) da Carbon Black instalam sensores em cada endpoint em sua organização – laptops, desktops, servidores etc. alterações indesejadas, idealmente na esperança de impedir um invasor de bisbilhotar e também interromper o ransomware e outras ameaças antes que se espalhem pela rede.
O problema BSOD surgiu ontem, com o caçador de ameaças Tim Geschwindt afirmando no Twitter r ele sabia de cerca de 50 organizações lutando com o problema e dizendo que a solução de endpoint Carbon Black estava “causando telas azuis da morte para dispositivos que executam a versão 3.7.0.1253” (mais tarde expandida para uma gama mais ampla de sensores). Os BSODs aparentemente começaram às 14:30 UTC de ontem.
No Reddit, um administrador diz que o efeito líquido foi “servidores e estações de trabalho com tela azul ‘PFN_LIST_CORRUPT’”, com outro administrador de sistema dizendo que eles “foram informados verbalmente por VMware que eles estão inundados.”
A VMware diz em seu artigo da Base de Conhecimento que a causa foi alguns conjuntos de regras de pesquisa de ameaças atualizados implementados em regiões de nuvem no leste dos EUA, Ásia-Pacífico e UE, que , acrescentou, não causou nenhum problema em seus testes internos.
O problema afeta dispositivos que executam versões de sensores de 3.6.xx a 3.7.xx, diz VMware.
A gigante da virtualização, que hospeda seu evento VMware Explore em San Francisco na próxima semana, reverteu os conjuntos de regras e promete que, à medida que as máquinas fizerem check-in, elas “obterão o conjunto de regras atualizado e resolverão automaticamente”.
Os administradores foram instruídos a colocar os dispositivos afetados no modo bypass através do Carbon Black Cloud Console para permitir que eles inicializem com sucesso e tenham o conjunto de regras remo ved, embora um “pequeno subconjunto” possa exigir uma solução alternativa adicional e aqueles que cuidam deles devem abrir um ticket de suporte. Há mais informações na Base de conhecimento, e os usuários do Carbon Black devem verificar se há atualizações.
Carbon Black, um conjunto de ferramentas de proteção de endpoint nativas da nuvem voltadas para a segurança cibernética corporativa market, foi adquirida pela VMware em 2019 para formar a peça central da nova Unidade de Negócios de Segurança da empresa.
O fornecedor corrigiu falhas críticas na ferramenta de segurança App Control da Carbon Black no início deste ano.
Analistas de tecnologia do Gartner previram que, como novo proprietário da VMware, a Broadcom pode racionalizar alguns produtos após o fechamento da aquisição, observando que tanto a Symantec quanto a unidade Carbon Black oferecem produtos de proteção de endpoint. Espera-se que o acordo seja fechado antes do final do ano fiscal de 2023 da Broadcom, portanto, em outubro do próximo ano.
