ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า จากกรณีที่มีข่าวว่า ระบบการให้บริการของ บริษัท CrowdStrike (คราวด์สไตรก์) ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงของสหรัฐอเมริกา เกิดข้อผิดพลาด ส่งผลให้ระบบปฏิบัติการ Windows ขัดข้องนั้น ดีอี ได้ดำเนินการดังนี้

1. ตรวจสอบข้อมูลเบื้องต้น ยังไม่พบว่ากรณีดังกล่าว มีผลกระทบต่อ เครือข่ายโทรคมนาคม โทรศัพท์เคลื่อนที่-อินเทอร์เน็ต รวมทั้ง ระบบสื่อสารและการเดินอากาศของบริษัท วิทยุการบิน

 2. ดีอี ประสานกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อติดตามสถานการณ์ เฝ้าระวัง อย่างใกล้ชิด พบว่ามีผลกระทบกับบางระบบงานในไทยบ้าง ซึ่งอยู่ระหว่างการประมวลข้อมูล ทั้งนี้ กรณีที่ได้รับการแจ้ง ทาง สกมช. พร้อมให้ความช่วยเหลืออย่างทันที

3. สกมช. ได้มีคำแนะนำ สำหรับหน่วยงานรัฐและเอกชน ที่ได้รับผลกระทบ วิธีการแก้ไขในเบื้องต้นดังนี้

ขั้นตอนที่ควรทำหากยังประสบปัญหาการ Reboot ซ้ำๆ

• บูตเข้าสู่ Safe Mode (ตามคำแนะนำอย่างเป็นทางการของ CrowdStrike) ขั้นตอนต่อไปนี้ทำได้ทุกกรณี

แม้ว่าระบบจะไม่มี local admin account ในเครื่องและไม่มีการเชื่อมต่ออินเทอร์เน็ต

• ให้ระบบบูตและ crash สามครั้ง ซึ่งจะทำให้เมนูปรากฏ

• คลิก Troubleshoot

• คลิก Advanced Options

• คลิก Command Prompt

• หากเป็นระบบที่ใช้การป้องกันด้วย BitLocker จะต้องป้อนรหัสการกู้คืน BitLocker ของหน่วยงานนั้น

• หาก BitLocker ถูกจัดการผ่าน Microsoft Intune สามารถค้นข้อมูลได้ที่ https://myaccount.microsoft.com ภายใต้เมนู "device" ตรวจสอบให้แน่ใจว่าได้จับคู่ชื่อโฮสต์ของอุปกรณ์และ ID ของคีย์

• หากไม่สามารถค้นหาข้อมูลใน Microsoft Intune ได้ให้ติดต่อเพื่อขอรับ Recovery Key BitLocker จากผู้ดูแลระบบ IT ของหน่วยงาน

• ในหน้าต่าง Command Prompt ให้พิมพ์คำสั่งต่อไปนี้ ตามด้วยปุ่ม Enter:

• คำเตือน: Command Prompt  เริ่มต้นที่ไดรฟ์ X:\ กรุณาอย่าลืมเปลี่ยนเป็น c:\ โดยพิมพ์คำสั่งเหล่านี้อย่างถูกต้อง

• c:

• cd windows

• cd system32

• cd drivers

• cd crowdstrike

• del C-00000291*

• exit

• คลิก continue to Windows

ขั้นตอนสำหรับผู้ใช้งานระบบ Cloud สาธารณะหรือคล้ายคลึง รวมถึง Virtual Machines

ตัวเลือกที่ 1:

• Detach Volume disk ระบบปฏิบัติการออกจาก virtual server ที่ได้รับผลกระทบ

• Create a snapshot or backup of the disk volume ก่อนดำเนินการต่อไปเพื่อเป็นการป้องกันการเปลี่ยนแปลงที่ไม่ตั้งใจ

• Attach/mount volume กับ virtual server ใหม่

• ไปที่ไดเรกทอรี C:\Windows\System32\drivers\CrowdStrike

• ค้นหาไฟล์ที่ตรงกับ “C-00000291*.sys” และลบมันออก

• Detach volume ออกจาก virtual server ใหม่

• Reattach volume ที่ได้รับการแก้ไขกลับไปยัง virtual server ที่ได้รับผลกระทบ 

ตัวเลือกที่ 2:

• ย้อนกลับไป snapshot ก่อนเวลา 04:09 UTC

ขั้นตอนสำหรับ Azure ผ่านทางซีเรียลเพื่อเข้าสู่ Safe Mode

• เข้าสู่ระบบคอนโซล Azure --> ไปที่ Virtual Machines --> Select the VM

• ด้านซ้ายบนของคอนโซล --> คลิก: "Connect" --> คลิก --> Connect --> คลิก "More ways to Connect" --> คลิก: "Serial Console"

• เมื่อ SAC โหลดแล้ว ให้พิมพ์ 'cmd' และกด Enter

• พิมพ์คำสั่ง 'cmd'

• พิมพ์: ch -si 1

• กดปุ่มใดก็ได้ (หรือกดแป้น space bar) ใส่ Credential ของผู้ดูแลระบบ

• ป้อนคำสั่งดังนี้:

• bcdedit /set {current} safeboot minimal

• bcdedit /set {current} safeboot network

• Restart VM

• ตัวเลือกเพิ่มเติม: วิธีตรวจสอบสถานะการบูต รันคำสั่ง:

• wmic COMPUTERSYSTEM GET BootupState

ข้อมูลเพิ่มเติม

-การทำตามขั้นตอนเหล่านี้จะไม่ทำให้ความปลอดภัยลดลง โดยหลังจากทำตามขั้นตอนข้างต้น CrowdStrike จะกลับมาทำงานตามปกติในระบบและระบบยังคงได้รับการป้องกัน

-CrowdStrike ได้ระบุสาเหตุของการอัปเดตที่ผิดพลาดว่าเป็นข้อบกพร่องในการอัปเดตเนื้อหา

(content update) ไม่มีข้อบ่งชี้ว่าเกิดจากการโจมตีทางไซเบอร์

-หากระบบได้รับการบูตแล้วและกลับมาออนไลน์ ไม่มีความจำเป็นต้องถอดถอน CrowdStrike

อ้างอิงจาก https://www.eye.security/blog/crowdstrike-falcon-blue-screen-issue-updates

“กระทรวง ดีอี มีความห่วงใยประชาชน โดยจะร่วมกับ สกมช. ติดตามสถานการณ์อย่างใกล้ชิด พร้อมหารือแนวทางและมาตรการรับมือ หากสถานการณ์มีการเปลี่ยนแปลง เพื่อไม่ให้เกิดผลกระทบและสร้างความเดือดร้อนให้กับประชาชน” รมว.ประเสริฐ กล่าว

สามารถแจ้งเบาะแส ข่าวปลอม และอาชญากรรมออนไลน์ทุกรูปแบบ โทรสายด่วน 1111 (24 ชม.) หรือ Line ID: @antifakenewscenter | เว็บไซต์ www.antifakenewscenter.com