Weltweite Computerstörung legt Systeme lahm

Ist doch das, was Sören und ich beschrieben haben. Oder meinst du, die Scripte führen sich per Voodoo aus? Vor allem, wenn die Kiste in einen BSOD rennt?

Es ging letztlich nur darum, das man die Geräte lediglich mehrfach neu starten muss; das kann der Mitarbeiter ja selber machen. Das wollte ich aufzeigen und habe deswegen zu MS verlinkt. Auf die Aussagen der üblichen Portale wollte ich mich nicht verlassen....

War ja auch nicht verkehrt, nur hast du vergessen zu erwähnen, dass Mensch dazwischen auch was machen muss.

Zitat von Sören Hentzschel

Die seitens Crowdstrike offiziell kommunizierte Lösung ist, dass man Windows im Safe Mode starten und dann eine Datei löschen muss.

Danke für die Info.

Dazu schreibt Günter Born in seinem Blog:

Zitat

Der Workaround wirkt aber nicht, wenn man weltweit Tausende an Windows-Systemen wieder zum Leben erwecken will.

Wegen eines Filter hier im Forum kann ich die URL zum Blog nicht als Link einfügen.

Zitat von TPD-Andy

Wegen eines Filter hier im Forum kann ich die URL zum Blog nicht als Link einfügen.

Und das ist auch gut so.

Die Formulierung von Born ist im Übrigen falsch. Natürlich wirkt der Workaround auch bei vielen Systemen. Die Anzahl ist vollkommen irrelevant. Da ist dann eher der Aufwand das Thema.

Zitat von Sören Hentzschel

Und das ist auch gut so.

Und warum? Wird da in einem nicht angemessenen Ton geschrieben und diskutiert?

Zitat

Die Anzahl ist vollkommen irrelevant. Da ist dann eher der Aufwand das Thema.

Das meine ich ja damit.

Auf der verlinkte Azure-Seite gibt es keine Issues mehr, stattdessen wird auf den Fehler zu Crowdstrike hingewiesen - und das bedarf manuellem Eingriff. Was auf gb beschrieben wurde, ist erstmal ziemlich reisserisch, damit verdient man auch Geld. Erst in einem anderen Artikel wird ab der zweiten Hälfte geschrieben, dass es zwei unabhängige Events waren.

Dass manche Patches extrem wichtig sind, kann man u.a. hier nachlesen:

Bericht: Angreifer missbrauchen "Proof of Concept"-Code innerhalb von 22 Minuten

In einem Bericht zeigt Cloudflare aktuelle Trends bei Cyberattacken auf. Den Zahlen zufolge verschärft sich die Bedrohungslage.

www.heise.de

Zitat von TPD-Andy

Wird da in einem nicht angemessenen Ton geschrieben und diskutiert?

Ganz sicher nicht.

Zitat von TPD-Andy

Und warum? Wird da in einem nicht angemessenen Ton geschrieben und diskutiert?

Born hat in der Vergangenheit wiederholt Lügen über Mozilla und Firefox verbreitet.

Sören Hentzschel  dejavu Vielen Dank für die konkrete und direkte Information.

Es ist wie bei jeder Zeitung, bzw. Blog. Lesen ja, aber auch hinterfragen, die Quellen besuchen, ggf auch in Englisch oder auch Kisuaheli, dann lässt man es sich übersetzen. Nur wenn man als Autor aber mehr als eine Nachricht/einen Artikel benötige, oder Korrekturartikel, um auf den Punkt zu kommen, dann wirds "schwierig".

PS, da ich auch querlese - es gibt viele Stimmen, die das gesamte Konstrukt nicht wirklich verstanden haben, weil diese Dimensionen nie kennengelernt wurden. Da ist von Backup wie auf 'nem Client die Rede, Ersatz-Windows, etc. Das (die betroffenen Systeme) sind entweder alles Workstations, keine privaten Rechner, und auch ein Ersatzwindows, sei es Client oder Server, will legal sein. Dann die üblichen Rants auf Antivirusprogramme, wobei Falcon wesentlich mehr ist, oder auf Microsoft. Komisch, sind alles Windows-Nutzer, die blöken. Alles so sinnlos...

sh*t happens, nicht nur für WIndows

CrowdStrike broke Debian and Rocky Linux months ago, but no one noticed

CrowdStrike recently caused a widespread Blue Screen of Death (BSOD) issue on Windows PCs, disrupting various sectors. However, this was not an isolated…

www.neowin.net

Zitat

In April, a CrowdStrike update caused all Debian Linux servers in a civic tech lab to crash simultaneously and refuse to boot. The update proved incompatible with the latest stable version of Debian, despite the specific Linux configuration being supposedly supported. The lab's IT team discovered that removing CrowdStrike allowed the machines to boot and reported the incident.

Zitat von .DeJaVu

sh*t happens, nicht nur für WIndows

Danke für die interessante Meldung.

Vom BSI

Weltweite IT-Ausfälle

www.bsi.bund.de

Zitat

Derweil nutzen Cyberkriminelle die Vorfälle für unterschiedliche Formen von Phishing, Scam oder Fake-Webseiten aus. Auch inoffizieller Code wurde in Umlauf gebracht.

Das BSI empfiehlt ausdrücklich, technische Informationen ausschließlich von offiziellen Crowdstrike-Quellen zu beziehen.

Nach den bisherigen Informationen zu dem Vorfall muss man wirklich von einem Komplettversagen der Firma CrowdStrike sprechen. Betroffen waren/sind laut Microsoft über 8,5 Millionen Windows Rechner.

Anders als von mir (und vielen anderen) zuerst angenommen, handelte es sich bei dem auslösenden Vorgang nicht um ein Treiberupdate, sondern um ein Definitionsupdate, welches wie beim Defender neue Einträge mit Bedrohungen beinhaltet. Diese Definitionsdatei enthielt wohl einen Wert, der den eigentlichen Kerneltreiber in eine nicht abgefangene NULL-Pointer Exception getrieben hat und damit zum Absturz des Treibers führte. Das wiederum hat Windows dann mit einem BSOD quittiert und von da an lief das Karussell munter von einem Reboot zum nächsten.

Ein Treiberupdate hätte man ganz sicher bei keiner größeren Firma der Welt ohne vorherigen Test auf die Produktivsysteme gelassen. Aber Definitionsupdates kommen mehrmals täglich und da hatten sich CrowdStrike und wohl auch die Kunden gedacht, dass das zu viel Aufwand wäre und ließ es auf Seiten des Kunden automatisch passieren. Ja, so blöd kann es dann laufen...

CrowdStrike hätte mit nur einem einzigen Test bzw. Durchlauf den Fehler gefunden. Da hat wirklich alles versagt. Außerdem sollten beim Einsatz von C++ die Möglichkeiten der Sprache genutzt werden und z.B. Smart/Shared-Pointer mit Reference Counting benutzt werden, um solche Fehlerquellen zu minimieren. Aber wahrscheinlich hat man eh nur Hochsprachen-Assembler-Code (sprich 'C') geschrieben. Nur Vermutungen meinerseits ...

Natürlich kommt bei so einer Häufung von Unzulänglichkeiten auch der Verdacht auf, es könnte sich um eine vorsätzliche Manipulation bzw "Sicherheitsvorfall" handeln. Wir werden es (hoffentlich) irgendwann erfahren...

Ich kann da jetzt nicht wirklich eine „Häufung von Unzulänglichkeiten“ entdecken. Eine fehlerhafte Zeile im Code und die Testabdeckung und/oder Qualitätssicherung hat es übersehen. Ist das nicht das Rezept von so ziemlich jedem Bug? Würde es das nicht geben, bräuchten wir keine Software-Updates mehr. Ich sage dazu aus aktuellem Anlass nur Thunderbird 115.12.1, welcher einen Bug beheben sollte, dessen Bugfix aber überhaupt nicht funktionierte, womit damit ein komplett sinnloses Update war. Natürlich ist das vom Schaden her nicht vergleichbar, aber das Prinzip ist das Gleiche: Fehler in der Programmierung, automatisierte Tests haben es nicht entdeckt, im Review durch einen Menschen wurde es übersehen. Das ist das Normalste der Welt (und da spreche ich auch aus Erfahrung ). Ich bin kein Freund davon, wegen so etwas Theorien aufzustellen.

Zumal längst kommuniziert wurde, dass es keine Anzeichen für einen Vorsatz gibt. Tatsächlich ist der gemachte Fehler ja sogar ein ziemlicher Klassiker, der selbst den Besten passieren kann. Und damit meine ich nicht die, die hinterher auf Social Media auf schlau machen, denen wäre das wahrscheinlich als Erstes passiert. Das ist in C++ einfach gefährlich und wenn da mal nicht die volle Konzentration da ist, übersieht man das leicht. Es ist auch immer leicht gesagt, dass sie jetzt am besten ihre komplette Software in Rust neu schreiben, weil diese Art von Fehler in Rust nicht möglich ist. Stimmt, aber auch in Rust kann man Fehler machen. Letztlich laufen doch die meisten Bugs in Software auf einfache Fehler hinaus, die eigentlich vermeidbar wären. Menschen machen Fehler. Und ja, Fehler in dem Ausmaß dürfen niemals passieren. Aber manchmal passiert genau das doch.

Das ist u.a. für die Boulevardpresse ein gefundenes Fressen, um das Sommerloch zu füllen. Angeblich sind es "nur" 1% aller Rechner weltweit, welche da betroffen waren, aber das ist trotzdem eine beachtliche Zahl. Vor allem, weil es sich wohl bevorzugt um PCs im geschäftlichen Umfeld handelt. Der wirtschaftliche Schaden scheint beträchtlich; ich frage mich, wer das wohl bezahlt...

Zitat von Foxxiator

Der wirtschaftliche Schaden scheint beträchtlich; ich frage mich, wer das wohl bezahlt...

Wahrscheinlich direkt oder indirekt die Kunden der betroffenen Unternehmen und Organisationen.

Ich tippe auf Versicherungen, zumindest teilweise. Vielleicht nicht in vollem Umfang, sodass CrowdStrike da auch teilweise in Haftung gehen muss, da es vermeidbar war. Für CrowdStrike kommen natürlich noch der Einbruch des Aktienkurses plus Image-Schaden und finanzielle Folge-Auswirkungen davon dazu.

CrowdStrike ist wahrscheinlich auch versichert....

Klar. Aber wenn man ein Problem hätte vermeiden können, zahlen Versicherungen ungern den kompletten Schaden. Und was eine Versicherung definitiv nicht abdeckt, ist der Aktienkurs sowie die Folgen des Image-Schadens, sprich Aufträge, die sie deswegen nicht bekommen, oder wenn Unternehmen, die sonst deren Software eingesetzt hätten, nun doch zur Konkurrenz gehen, oder bestehende Kunden ihre Verträge nicht verlängern. Der Schaden lässt sich ja auch gar nicht beziffern.

Die betroffenen Endkunden bekommen ihren Schaden vermutlich reguliert. Aber an CrowdStrike dürfte das auch mit Versicherung nicht spurlos vorbeigehen.