VMware 确认 Carbon Black 确实导致 Windows BSOD 和引导循环

如果您组织的运行 Windows 的计算机出现蓝屏死机 (BSOD) 或进入引导循环，则您的公司可能正在使用 VMware 的炭黑端点检测和响应 (EDR) 解决方案。VMware 也确认了这个问题。

在今天早些时候发布的安全公告中，该公司表示已意识到该漏洞，并解释说最近对 Carbon Black 威胁研究规则集的更新是罪魁祸首，因此，该问题已通过更新回滚策略得到解决。此外，该公司还提供了临时解决方法。

整个问题以及解决方法如下：

端点标准：Windows 设备上的突然蓝屏（2022 年 8 月 23 日）

环境

• Carbon Black Cloud 控制台：所有版本
• 炭黑云传感器：3.6.xx – 3.7.xx
• Microsoft Windows：所有支持版本

症状

• 设备在启动时进入蓝屏
• 停止代码可能会显示“PFN_LIST_CORRUPT”

原因

• 在内部测试未显示问题迹象后，更新的威胁研究规则集已推广到 Prod01、Prod02、ProdEU、ProdSYD 和 ProdNRT

解析度

• VMware Carbon Black 已回滚规则集，当机器签入时，它们将获得更新的规则集并自动解析。

临时解决方法

• 通过 Carbon Black Cloud Console 将受影响的传感器置于旁路模式，以允许它们成功启动并删除规则集
• 一小部分受影响的设备可能需要额外的解决方法，需要重新启动到安全模式，如果是这样，请打开如下所示的支持案例