News CrowdStrike: Update legt PCs & Server weltweit lahm, Workarounds helfen

[milliardo]

Ich hab heute Geburtstag und (etwas zu) teure Puts auf Crowdstrike gekauft. Ich hoffe den Aktienkurs zerbröselt es im Laufe des Tages so richtig und ich habe davon noch etwas, haha.

Umgekehrt wünsche ich allen direkt Betroffenen den geringstmöglichen Ärger und Komplikationen. Toi toi toi!!

 

[Conqi]

Ich habe einfach noch nie von CrowdStrike gehört. Ist das jetzt die Analogie zu McAfee oder so?

Mehr oder weniger ja. Ist halt ein reines Enterprise-Produkt, daher hat man als Privatperson in den meisten Fällen noch nie davon gehört.

wer schonmal mit it-managment in den letzten paar jahre zu tun hatte, weiß wie abhängig admins von solchen "tools" geworden sind

Teilweise bist du dazu halt auch gezwungen. Je nach Betriebsgröße steigen dir Geschäftsführung, Cyber-Versicherung etc. aufs Dach, wenn du nicht ein bisschen mehr auffährst als "wir haben Avira Free auf alle PCs gepackt".

dabei folgen ms admins fast wie schafe einer engen auswahl an lösungen - standardisierung die im zweifelsfall dafür sorgt das "standardmäßig" ganze betriebsbereiche ausfallen!

Das ist jetzt aber auch etwas übertrieben. Es gibt halt auch nicht unendlich brauchbare Anbieter da draußen. Klar liegen dann ggf. mehrere Firmen auf einmal still. Wenn wir nur mal Flughäfen betrachten sieht man aber gut, dass offensichtlich nicht alle "wie Schafe" auf die gleiche Lösung gesetzt haben.

 

[sedot]

Mal als offtopic Frage eines non-techies.

Gibts keine Backups die den „last working state“ der Systeme wiederherstellen?

 

[knoxxi]

Ich hab heute Geburtstag

Herzlichen Glückwunsch 🎉

 

[Salutos]

Was ich nicht verstehe, wie kann ein Update zu solch weitreichenden und zeitgleichen Problemen führen?

• Wurde das Update zeitgleich auf allen betroffenen Geräten ausgerollt?
• Wenn es so weitreichend ist, warum wurde es nicht vorab besser getestet?
• Hat es sich um einen Notfallpatch gehandelt der in die Hose ging?

Denke da gibt es einige Fragen zu klären.

 

[metoer]

Erschreckend wie abhängig selbst kritische Infrastruktur von solchen Dritt-Anbieter Programmen ist, die sich so tief ins System einnisten können/müssen.

 

[Decius]

Ja bei uns (DAX30 Konzern) ist gerade große Begeisterung ausgebrochen Viele im HO können nicht mal bis zum Desktop kommen und da man idR seinen Bitlocker Key vlt. haben kann, fehlen aber die Adminrechte, um den Fix anwenden zu können

Hier auch. Paar tausend Server im Konzern, ein paar hundert in unserere direkten Verwaltung. Spass am Freitag!

 

[ottocolore]

Der "Westen" knockt sich gerade selbst aus. Russen und Chinesen fragen sich gerade, ob sie ihre Hacker-Armeen noch brauchen.

 

[xexex]

Gibts keine Backups die den „last working state“ der Systeme wiederherstellen?

Darum geht es nicht, aber mache das bei 10000 Rechnern, wenn das System nicht mehr hochfährt. Da kann man zwar nur hoffen, es gibt überall Intels vPro oder andere Lösungen und es geht ohne einen physischen Zugriff, aber das ist eher pures Wunschdenken und einige werden kein schönes Wochenende haben.

 

[-=[CrysiS]=-]

Schöne neue Welt, läuft.

 

[Falc410]

Sagen wir das IT-Meme des Jahres. Gegen Hawk Tua wird es die Abstimmung außerhalb der Branche verlieren

Kann man doch super kombinieren. Was wir denken das IT-Admins möchten vs. was sie wirklich möchten.

 

[Decius]

Erschreckend wie abhängig selbst kritische Infrastruktur von solchen Dritt-Anbieter Programmen ist, die sich so tief ins System einnisten können/müssen.

Und diese mit Automatikupdates ohne drüberschauen und Kontrolle dann einfach so geupdatet werden. "Wird schon gutgehen" - bis es das nicht tut. In Krankenhäusern etc. kann das durchaus Menschenleben betreffen. Da sollte mehr passieren als nur ein paar Euro Pönale fließen, die eh eine Rückversicherung übernimmt.

 

[Djura]

Moin,

ist das der Grund, warum mein privates ZenBook heute morgen erst nicht starten wollte und dann im dritten oder vierten Anlauf doch noch gestartet ist? Hat das Auswirkungen auf meine VPN- bzw. Remoteverbindung in die Firma?

Denn, von CrowdStrike lese ich zum ersten Mal.

 

[Decius]

Der "Westen" knockt sich gerade selbst aus. Russen und Chinesen fragen sich gerade, ob sie ihre Hacker-Armeen noch brauchen.

Die Russen und Chinesen benutzten genauso diese Software.

 

[ChrisMK72]

"und eine Datei im CrowdStrike-Ordner löschen"

Ich würd' gleich die ganze Software löschen, nicht nur eine Datei davon.

 

[Marco01_809]

Das versuchen wir derzeit auch zu analysieren, weshalb das so "willkürlich" auftritt; bisher finden wir noch kein Muster.

heute am Morgen normal im Workflow gewesen und plötzlich kam der Blue-Screen mit "Ursache" page fault in nonpaged area... Nach dem Neustart [...] 10min nichts weiter am Notebook gemacht. Dann kam wieder der gleiche Blue-Screen und dann war es vorbei, nun lässt sich nicht mehr normal neu starten, er kommt immer wieder in den Blue-Screen...

Denke mal der Treiber hat einfach einen Bug der Kernelspeicher corrupted. Wenn das Update reinkommt wird der Treiber direkt geladen und dann ist es eine Frage der Zeit, Konfiguration und laufenden Anwendungen bis der Bug getriggert wird und den Kernel crashed.
Memory corruption im Kernel heißt auch immer potentielle Sicherheitslücke

Mit Pech wird der Bug schon beim Booten getriggert. Dann kann auch nie der Updater laufen um den fehlerhaften Treiber auszutauschen Dann muss man wie der Workaround beschreibt von Hand den Treiber von der Disk löschen. Viel Spaß mit BitLocker!

Wäre mit Linux nicht passiert...

Die Aussage ist ok, da heute Freitag ist. :-)

Ansonsten natürlich Blödsinn. [...]

Und hier scheint der Fehler durch einen Fehler beim Dienstleister ausgeführt wurden zu sein. Sowas wäre auch bei Linux möglich.

Naja so ist das eben mit Kernel-Treibern. Ein einziger Bug legt das System komplett lahm 🤷‍♂️ Da gilt Weniger ist Mehr und fragwürdige Software von Drittanbietern sollte man tunlichst aus dem Kernel raushalten. Unter Linux sind Drittanbieter-Module darum auch verpöhnt.

Das soll nicht heißen dass Linux-Treiber fehlerfrei sind, keineswegs. Aber fehlerhafte Gerätetreiber legen eben nur bestimmte Rechner lahm und alle Änderungen an Kernkomponenten werden in Release Candidates und Stable Versionen viele Monate von zig Nutzern auf den verschiedensten Systemen genutzt bevor sie in den für Unternehmen relevanten LTS Versionen ankommen. Und dann noch die vielen Distributionen wo Updates zu verschiedenen Zeitpunkten drin landen. So ein Super-GAU der nahezu alle Systeme auf einmal betrifft kann da einfach nicht vorkommen.

 

[DEADBEEF]

Der "Westen" knockt sich gerade selbst aus. Russen und Chinesen fragen sich gerade, ob sie ihre Hacker-Armeen noch brauchen

Im Nachgang war es ein manipuliertes Update von Putin/Nord-Korea/Orban

 

[Cr4y]

Wir stecken mit denen in Vertragsverhandlungen.... ich glaube das überdenkt unser Management jetzt nochmal. Glück im Unglück.
Kann man nur hoffen das die menschlichen Verluste hierbei gen 0 Laufen...

Kann dir halt bei jedem anderen Anbieter auch passieren. Würde sogar soweit gehen zu behaupten, dass es bei Crowd Strike nun etwas weniger wahrscheinlich ist. N guter Preisnachlass sollte aber drin sein

 

[B3rry]

"und eine Datei im CrowdStrike-Ordner löschen"

Ich würd' gleich die ganze Software löschen, nicht nur eine Datei davon.

Genau... Und dann stehst du ohne Securitylösung da und das macht es besser ? Es geht hier nicht um deinen scheiß RGB blinkenden Spielekasten zu hause.

 

[sedot]

Darum geht es nicht, aber mache das bei 10000 Rechnern, wenn das System nicht mehr hochfährt.

Wie geschrieben, ich hab keine Ahnung, aber das Credo ist, mit Backups können Ausfälle jedweder Art verhindert werden. Also gibt es keine oder reichen bekannte Strategien in dem Fall nicht? Falls ja, warum?