CrowdStrike: Update legt PCs & Server weltweit lahm, Workarounds helfen
Ein Update für die Security-Software-Suite CrowdStrike sorgt aktuell weltweit für Probleme, weil es Windows-Rechner von PCs über Notebooks bis hin zu Servern in eine Blue-Screen-Schleife schickt. Fluggesellschaften, Notrufsysteme, Banken – die Liste der betroffenen Systeme ist umfassend. Auch ComputerBase-Nutzer berichten davon.
Der Bluescreen enthält die Fehlermeldung „PAGE_FAULT_IN_NONPAGED_AREA“, ausgelöst durch die Datei „csagent.sys“. CrowdStrike hat das Problem über Reddit bereits bestätigt. Auch der am Morgen in Deutschland thematisierte Ausfall am BER ist darauf zurückzuführen – viele weitere Flughäfen weltweit sind betroffen, aber auch Krankenhäuser und Verwaltungen.
Workaround: Datei (per Script) löschen
Der Anbieter präsentiert auch einen kurzfristigen Workaround. Dafür müssen Nutzer das System im abgesicherten Modus oder der Windows-Wiederherstellungs-Umgebung starten und eine Datei im CrowdStrike-Ordner löschen. Im Anschluss soll sich das System wieder normal nutzen lassen.
- Boot Windows into Safe Mode or the Windows Recovery Environment
- Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
- Locate the file matching “C-00000291*.sys”, and delete it.
- Boot the host normally.
Der Workaround setzt voraus, dass auf Systemen mit aktivem Bitlocker der Schlüssel zur Verfügung steht, was in vielen Firmen allerdings nur in der IT-Abteilung der Fall ist – nicht aber beim betroffenen Nutzer selbst.
Auf GitHub ist inzwischen ein Script veröffentlicht worden, das den Vorgang über die Group Policy in Windows automatisieren kann.
Die Probleme halten auch am späten Freitagvormittag weltweit an. Am BER gibt es weiterhin Verspätungen und Ausfälle, von Ausfällen betroffene Fluggäste werden gebeten nicht zum Flughafen zu kommen. Ryanair wiederum hat Fluggäste dazu aufgerufen zum Flughafen zu kommen, falls der Online-Checkin fehlschlägt. Am Flughafen Hamburg werden Flugtickets mit der Hand ausgestellt. Vereinzelt haben Kliniken geplante, aber nicht kritische OPs für heute abgesagt. Bei Sky News fiel in Großbritannien kurzzeitig das Live-Programm aus.
Dass parallel auch Microsoft-365-Dienste vielerorts nicht verfügbar waren, steht nach aktuellem Kenntnisstand nicht mit den durch das CrowdStrike-Update initiierten Ausfällen in Verbindung. Microsoft spricht in diesem Fall von einer eigens vorgenommenen Konfigurationsänderung, die zu Problemen geführt hat.
Preliminary root cause: A configuration change in a portion of our Azure backend workloads, caused interruption between storage and compute resources which resulted in connectivity failures that affected downstream Microsoft 365 services dependent on these connections.
In einen Statement des CrowdStrike-CEOs heißt es nur, das Problem sei isoliert und ein Fix werde ausgeliefert. Bis dieser überall ankommt, dürfte jedoch eine gewisse Zeit vergehen. Gleichzeitig betont das Unternehmen, dass es keine Cyberattacke oder ähnliches war. Eine Entschuldigung für die Probleme liefert der Chef des Unternehmens nicht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat funktionierende Workarounds für individuelle Systeme, Cloud- und virtualisierte Systeme sowie Microsoft-Azure-Instanzen noch einmal zusammengefasst (PDF). Die Behörde geht laut Pressemitteilung ebenfalls nicht davon aus, dass ein Cyberangriff hinter den Problemen steckt.