Microsoft hat ein spezielles WinPE-Wiederherstellungstool veröffentlicht, um das fehlerhafte CrowdStrike-Update zu finden und zu entfernen, das am Freitag schätzungsweise 8,5 Millionen Windows-Geräte abstürzen ließ.

Am Freitag führte ein fehlerhaftes Update von CrowdStrike dazu, dass Millionen von Windows-Geräten weltweit plötzlich mit einem Blue Screen of Death (BSOD) abstürzten und in Reboot-Schleifen gerieten.

Dieser Fehler verursachte massive IT-Ausfälle, da Unternehmen plötzlich feststellten, dass alle ihre Windows-Geräte nicht mehr funktionierten. Diese IT-Ausfälle betrafen Flughäfen, Krankenhäuser, Banken, Unternehmen und Regierungsbehörden weltweit.

Um das Problem zu beheben, mussten Administratoren die betroffenen Windows-Geräte im abgesicherten Modus oder der Wiederherstellungsumgebung neu starten und den fehlerhaften Kernel-Treiber manuell aus dem Verzeichnis C:\Windows\System32\drivers\CrowdStrike entfernen.

Da jedoch hunderte, wenn nicht tausende Windows-Geräte betroffen waren, war die manuelle Durchführung dieser Reparaturen problematisch, zeitaufwendig und schwierig.

Microsofts Lösung zur Unterstützung der IT-Administratoren

Um IT-Administratoren und Support-Mitarbeitern zu helfen, hat Microsoft ein spezielles Wiederherstellungstool veröffentlicht, das die Entfernung des fehlerhaften CrowdStrike-Updates von Windows-Geräten automatisiert, sodass diese wieder normal starten können.

„Als Folge des CrowdStrike Falcon-Agentenproblems, das Windows-Clients und -Server betrifft, haben wir ein USB-Tool veröffentlicht, um IT-Administratoren bei der Beschleunigung des Reparaturprozesses zu unterstützen“, heißt es in einem Microsoft-Support-Bulletin.

„Das signierte Microsoft-Wiederherstellungstool ist im Microsoft Download Center zu finden: https://go.microsoft.com/fwlink/?linkid=2280386.“

Nutzung des Microsoft-Wiederherstellungstools

Um das Wiederherstellungstool von Microsoft zu nutzen, benötigen IT-Mitarbeiter einen Windows 64-Bit-Client mit mindestens 8 GB Speicherplatz, Administratorrechte auf diesem Gerät, ein USB-Laufwerk mit mindestens 1 GB Speicherplatz und gegebenenfalls einen Bitlocker-Wiederherstellungsschlüssel.

Es sollte beachtet werden, dass ein USB-Flash-Laufwerk mit 32 GB oder weniger verwendet werden muss, da es sonst nicht mit FAT32 formatiert werden kann, was zum Booten des Laufwerks erforderlich ist.

Das Wiederherstellungstool wird über ein PowerShell-Skript erstellt, das von Microsoft heruntergeladen und mit Administratorrechten ausgeführt werden muss. Bei der Ausführung wird ein USB-Laufwerk formatiert und ein spezielles WinPE-Image erstellt, das auf das Laufwerk kopiert und bootfähig gemacht wird.

Durchführung der Reparatur

Nach dem Booten des betroffenen Windows-Geräts mit dem USB-Schlüssel wird automatisch eine Batch-Datei namens CSRemediationScript.bat ausgeführt.

Diese Batch-Datei fordert zur Eingabe der erforderlichen Bitlocker-Wiederherstellungsschlüssel auf, die über diese Schritte abgerufen werden können.

Das Skript sucht dann nach dem fehlerhaften CrowdStrike-Kernel-Treiber im Verzeichnis C:\Windows\system32\drivers\CrowdStrike und löscht ihn automatisch, wenn er gefunden wird.

Tests und Überprüfungen von BleepingComputer zeigen, dass das Skript keine Protokolle erstellt oder eine Sicherung des CrowdStrike-Treibers anlegt.

Nach Abschluss des Skripts wird aufgefordert, eine beliebige Taste zu drücken, woraufhin das Gerät neu gestartet wird.

Jetzt, da der CrowdStrike-Treiber gelöscht wurde, sollte das Gerät wieder normal in Windows starten und verfügbar sein. Das größte Hindernis für Windows-Administratoren ist jedoch das Abrufen der erforderlichen Bitlocker-Wiederherstellungsschlüssel. Daher sollten diese Schlüssel als erstes beschafft werden, bevor versucht wird, die Geräte wiederherzustellen.