Microsoft-Schätzung: 8,5 Millionen Windows-Systeme von Crowdstrike betroffen

21.7.2024 15:19 Uhr

Laut einer aktuellen Schätzung von Microsoft sollen rund 8,5 Millionen Systeme von dem Crowdstrike-Ausfall betroffen sein, der weltweit Systeme zum Absturz brachte. Das wäre weniger als ein Prozent aller laufenden Windows-Geräte, teilte der Konzern in einem Blog-Beitrag mit.

Dennoch sind die Konsequenzen des weltweiten Systemausfalls gravierend. Denn der Haken an dieser Zahl: Es waren vor allem Unternehmenssysteme, die durch das fehlerhafte Update in Crowdstrikes Anti-Viren-Lösung Falcon nicht mehr liefen.

Microsoft erklärt nun, man habe sowohl Crowdstrike als auch die Kunden unterstützt, um die Systeme wieder zum Laufen zu bekommen. Das gilt etwa für das Verbreiten des Workarounds, mit dem sich der Fehler beheben lässt. Zudem habe Microsoft auch mit Amazon Web Services und Googles Cloud-Plattform kooperiert, um abschätzen zu können, wie weitreichend die Folgen des Ausfalls für die komplette Industrie sind.

Mittlerweile hat Microsoft auch ein Recovery-Tool bereitgestellt, das Administratoren beim Wiederherstellen der Systeme unterstützen soll.

Microsoft betont die Schuld von Crowdstrike

Microsoft betont in der Stellungnahme nochmals, dass es sich um ein fehlerhaftes Crowdstrike-Update gehandelt habe, es wäre kein „Microsoft-Vorfall“ gewesen. Tatsächlich kam es aber neben der Crowdstrike auch zu einem Ausfall von Microsoft Azure, durch den Microsoft-365-Dienste zeitweise nicht nutzbar waren.

The fix going forward is that Microsoft needs to have better policies to roll back defective drivers and not just raw dog risky updates to customers.

Crowdstrike will likely promote their code safety officer to put in code sanitization tools that will catch this automatically.
— Zach Vorhies / Google Whistleblower (@Perpetualmaniac) July 19, 2024

Zusätzlich diskutieren IT-Sicherheitsexperten derzeit, inwieweit Mängel in Microsofts System-Architektur dazu geführt haben, dass ein einzelnes Update so gravierende Folgen haben kann.

Schäden im zweistelligen Milliarden-Bereich

Bereits jetzt heißt es, dass der Crowdstrike-Ausfall zu einem Schaden von historischem Ausmaß führt. Ersten Analysen nennen basierend auf älteren Schätzungen eine Summe von 24 Milliarden US-Dollar. Bis sich das wahre Ausmaß beziffern lässt, wird es aber noch einige Zeit dauern.

Betroffen waren unzählige Unternehmen, spätestens Freitagmorgen fielen Dienste reihenweise aus. Das galt auch für Infrastrukturbetreiber wie Krankenhäuser, Notrufstationen, Supermärkte, Fernsehsender und Flughäfen. Operationen mussten verschoben werden, in Deutschland war der Flugbetrieb auf dem Berliner Flughafen BER gestört. Und in den USA kam der Luftverkehr zeitweise fast vollständig zum Erliegen.

12-hour timelapse of American Airlines, Delta, and United plane traffic after what was likely the biggest IT outage in history forced a nationwide ground stop of the three airlines. pic.twitter.com/wwcQeiEtVe
— Colin McCarthy (@US_Stormwatch) July 19, 2024

Crowdstrike hat derweil weitere Informationen in einem Technischen Bericht veröffentlicht. Bei der Konfigurationsdatei, die die Bluescreen-Schleifen (BSOD) auslöste, handelte es sich um sogenannte „Channel Files“, die an die Falcon-Sensoren ausgespielt werden. Diese werden mehrmals täglich aktualisiert, das sei ein normaler Vorrang, um Anti-Viren-Lösung an neue Bedrohungen anzupassen. Man habe die Architektur auch nicht verändert.

Den Logikfehler, die zum Absturz führte, löste die Channel File 291 („C-00000291*.sys“) aus. In dem bereits am Freitagmorgen publizierten Workaround empfiehlt Crowdstrike, die entsprechende Datei zu löschen. Mittlerweile ist auch eine fehlerbereinigte Channel File 291 verfügbar. Die weitere Ursachenforschung läuft noch. Crowdstrike kündigt bereits weitere Informationen an.

CB-Funk Podcast #81: Intel attackiert AMD und Qualcomm auf Krücken mit Fabian und Jan-Frederik