Update von Crowdstrike legt Windows lahm

[Badesalz]

Zitat von Freestaler

Irgendwas ging schief. Ich jann mir schlicht nicht vorstellen, das ihr releaseprozess per se einfach globales go drin hat

Kann aktuell keiner, aber wie gesagt letzten Monat ging unter Win, 1 Kern der CPUs wo das drauf läuft auf 100% Last. Global.

Vielleicht hat der CTO einfach Eier aus Stahl? Oder ist das eine sie? (habs nicht recherchiert) Dann halt Möpse aus Eichenholz? (sagt man das dann so?)

Zitat von blackbox

Deine Glaskugel will ich auch haben.

Wäre auf jeden Fall nützlicher als die 2 Glasaugen.

[Leonidas]

Gut, wenn man einen Notfall-Plan hat...

[Exxtreme]

Bret Hitman Hart weiss genau woran das lag:



Und ja, lag wohl an Nullpointer Dereferenzierung.

[Badesalz]

Kosten?
https://blog.fefe.de/?ts=986536ef

Russland und China weder davon noch von MS365 betroffen. fefe stellt die These auf, ob das nicht auch paar Vorteile haben könnte, wenn nicht auch die EU von paar Tech-Sanktionen der USA belegt werden würde.

[Spring]

Nur weil eine Firma es schlicht verkackt hat und unprofessionell gearbeitet hat, muss man sich Sanktionen wünschen. Absurd.

Und weil einmal Uralt Systeme im Vorteil waren, soll das die neue Referenz sein. Nicht wirklich.

Haarsträubend: Null Pointer im Crowdstrike-Code ist Grund für IT-Chaos

Zitat:

Nach dem Auslesen des Memory Dumps eines betroffenen Systems scheint die Ursache für den Blue Screen gefunden worden zu sein. Es handelt sich dabei um einen sogenannten Null-Pointer-Fehler. Der Code versuchte also auf eine ungültige Speicheradresse zuzugreifen, ohne vorher dessen Validität zu überprüfen. Das führte in Folge zu den Abstürzen und Bootloops.

Viele moderne Programmiersprachen überprüfen während der Kompilierung automatisch, ob Null Pointer im Code enthalten sind. Die Crowdstrike-Software ist jedoch in C++ geschrieben. Hier muss der Programmierer manuell eine Überprüfung vornehmen. Das scheinen die Verantwortlichen bei Crowdstrike jedoch verpasst zu haben.

Zitat:

Das Unternehmen ist einer der weltweit größten Anbieter im Bereich des Endgeräteschutzes. Ein solch fundamentaler Fehler wirft jedoch kein gutes Licht auf die Entwicklungsarbeit und Prozesse bei der Cybersecurity-Firma. Das Problem hätte direkt bei einem Test auf einem stabilen System auffallen müssen. Offenbar wurden solche Tests aber zu keiner Zeit durchgeführt.

[schokofan]

Das war schon etwas komplizierter, heise hatte den Tweet auch erst mit einem Artikel bedacht, inzwischen aber nachgebessert.
https://x.com/taviso/status/1814762302337654829
https://x.com/patrickwardle/status/1814343502886477857

[Badesalz]

Zitat von Spring

Nur weil eine Firma es schlicht verkackt hat und unprofessionell gearbeitet hat, muss man sich Sanktionen wünschen. Absurd.

Ist dir der Begriff "Joke" geläufig? Was führst du denn für ein Leben?

[...]
Exxtreme postet die Info EINEN Beitrag über deinen hier. Wer sich dafür interessiert aber nicht stinkefaul ist hat schon danach gegoogelt.

[joe kongo]

Wo ist das Problem, Adresse 0x09c ist irgendwo am ISA Bus,
ein gutes Betriebssystem muss das aushalten.

[Hakim]

Vielleicht sollte man bei den Kritischen Systemen nicht so abhängig und anfällig von Außen sein. Wäre es nicht angebracht wenn die Länder oder halt die EU bei den wichtigen Unternehmen, Infrastruktur, Kliniken etc auf eigene Sicherheitsunternehmen setzen muß und die bezüglich Service Updates, Update ausrollen und sonstige Anfälligkeiten wie Sabotage Schutz von Außen gewissen Regeln festgelegt wird?

Der Vorfall zeigt doch nur auf wie im Ernstfall, jetzt nur Hypothetisch, die Russen z.B nur ein Unternehmen im Ausland Sabotieren müssen, damit die EU und der Rest der Welt kurz lahm gelegt werden.

Übertrieben?

[Fusion_Power]

So einfach kann man also mal so eben die halbe Welt lahmlegen, ein paar winzige Codezeilen. Russland, China, Nordkorea & Co. machen sich schon Notizen...
Könnte in Zukunft vermutlich öfters vorkommen sowas wenn nicht gegengesteuert wird.

Zitat von Hakim

Der Vorfall zeigt doch nur auf wie im Ernstfall, jetzt nur Hypothetisch, die Russen z.B nur ein Unternehmen im Ausland Sabotieren müssen, damit die EU und der Rest der Welt kurz lahm gelegt werden.

Übertrieben?

Nein, genau das Problem. Linux ist da leider auch keine Lösung, bzw noch schlimmer. Da reicht es ein kleines Team zu infiltrieren.

[Exxtreme]

Zitat von Hakim

Vielleicht sollte man bei den Kritischen Systemen nicht so abhängig und anfällig von Außen sein.

Da hat CrowdStroke auf mehreren Ebenen komplett versagt und deshalb war das möglich. Es ist so, Compiler können sehr wohl erkennen, dass man einen potentiellen nullptr dereferenzieren möchte. Hätte man die Warnung beachtet dann wäre wohl nichts passiert. Und ja, in C oder C++ ist das leider nur eine Warnung, die man ignorieren kann.

Aber man hätte anschließend die Software testen sollen. Spätestens da wäre das aufgefallen, dass das Programm crasht.

[Rooter]

Hier eine Stellungsnahme von Crowdstrike:
https://www.crowdstrike.com/blog/fal...nical-details/

• Das fehlerhafte Update war nur von 6:09-7:27 Uhr unserer Zeit online. Wer in diesem Zeitraum seinen Rechner nicht an hatte, hatte auch kein Problem.
• Obwohl diese Channel-Datei die Dateiendung .sys hat, ist es keine Treiberdatei. Daher sind auch die vielen Null-Bytes am Anfang der Datei ohne Bedeutung.

Wie schnell dieses Update Maschinen hat crashen lassen zeigt, dass die Deppen offenbar gar nix testen bei ihren Updates. Von Ringen brauchen wir da noch gar nicht zu reden.

Zitat von Hakim

Vielleicht sollte man bei den Kritischen Systemen nicht so abhängig und anfällig von Außen sein.

Ich stimme dir zu, finde aber auch, dass wir nochmal mit einem blauen Auge davongekommen sind. Stell dir mal vor, unsere Strom-Infrastrukur würde auf Windows-Rechner mit Crowdstrike setzen. Dann wäre am Freitag-Vormittag Deutschland dunkel gewesen. Oder die halbe Welt...

MfG
Rooter

[BlacKi]

Zitat von Rooter

Stell dir mal vor, unsere Strom-Infrastrukur würde auf Windows-Rechner mit Crowdstrike setzen. Dann wäre am Freitag-Vormittag Deutschland dunkel gewesen. Oder die halbe Welt...

MfG
Rooter

das thema wird dort auch anders behandelt. aber der stromhandel ist wohl die schwachstelle. nicht als wäre das nicht schon passiert oder so...

[registrierter Gast]

Hier ist eine kurze Zusammenfassung, die die durch Crowdstrike verursachten Blue Screens verständlich erklärt, ohne zu hohe Anforderungen an den Zuhörer zu stellen.

[=Floi=]

Zitat von Hakim

Vielleicht sollte man bei den Kritischen Systemen nicht so abhängig und anfällig von Außen sein. Wäre es nicht angebracht wenn die Länder oder halt die EU bei den wichtigen Unternehmen, Infrastruktur, Kliniken etc auf eigene Sicherheitsunternehmen setzen muß und die bezüglich Service Updates, Update ausrollen und sonstige Anfälligkeiten wie Sabotage Schutz von Außen gewissen Regeln festgelegt wird?

Der Vorfall zeigt doch nur auf wie im Ernstfall, jetzt nur Hypothetisch, die Russen z.B nur ein Unternehmen im Ausland Sabotieren müssen, damit die EU und der Rest der Welt kurz lahm gelegt werden.

Übertrieben?

in hardware geht das viel einfacher und es wundert mich, dass das nicht so so von bestimmten staaten gemacht wird um unser system zu destabilisieren/erschüttern.
Das thema ist einfach da und wird uns im leben begleiten.


Es ist schon nice, wie die versicherungsbranche hier software vorschreibt. Hier frage ich mich eher, ob nicht eine hand die andere wäscht.

[Gebrechlichkeit]

The Cloud Strike Blue Screen Chaos refers to a recent incident where a faulty software update issued by CrowdStrike, a cybersecurity company, caused widespread disruptions to Windows computers worldwide. Here is a summary of the incident:

Spoiler

### Background of CrowdStrike
CrowdStrike is a software company known for investigating breaches and helping companies recover from cyber attacks. Their software, CrowdStrike Falcon, is widely used by businesses to prevent and address security threats. It is a mandatory program installed on many computers to ensure the safety of company data.

### Impact of the Incident
The impact of the Cloud Strike Blue Screen Chaos has been widespread and severe. Some notable effects include:
- Sky News going off-air temporarily and returning with a chaotic hand-cam setup.
- Numerous services reported as down on the Down Detector website due to Windows computers being unable to turn on.
- Delta Airlines experiencing blue screen issues on their computers, causing chaos with flights.
- Hotels in Las Vegas unable to make bookings due to system failures.
- Sydney supermarkets only accepting cash as their Windows-based systems were affected.

### Windows Vulnerability
Windows is the only operating system affected by this incident due to its historically insecure nature. Windows has been a prime target for ransomware attacks and other security breaches. Unlike Linux and Mac systems, Windows lacks the necessary security measures, making it more susceptible to such issues.

### How CrowdStrike Falcon Works
CrowdStrike Falcon takes a unique approach to antivirus software by operating at a deeper level within the computer's system. It loads a driver that controls devices and ensures a secure environment for booting up. This deep level of access allows CrowdStrike Falcon to detect and address potential cyber attacks effectively.

### The Cause of the Issue
The cause of the Cloud Strike Blue Screen Chaos was a faulty update pushed by CrowdStrike. The update contained a driver file with all its contents replaced by zeros. This rendered the driver useless and prevented affected computers from booting up properly.

### Intentional or Unintentional?
While some speculated that the faulty update was intentional or a result of external interference, it is highly unlikely. The mistake seems to be a result of human error or a failure in the build system, rather than a deliberate act.

### Response from CrowdStrike
CrowdStrike's CEO, George Kurtz, issued a statement addressing the incident. However, many criticisms arose regarding the lack of an apology and the extent of their ability to fix the issue. The complexity of the fix and the sheer number of affected machines make it challenging for CrowdStrike to provide an immediate solution.

### Fixing the Issue
The recommended fix for affected computers is to boot in safe mode and manually delete the corrupted driver file. However, this process requires technical knowledge and familiarity with Windows boot flags and command prompt operations. Additionally, users who have enabled BitLocker encryption face additional challenges in accessing their machines.

### Future Resolution
It is anticipated that Microsoft, CrowdStrike, or community members will create a bootable USB image that automates the fix process and provides step-by-step instructions. This will simplify the resolution for IT professionals and minimize the burden on affected users.

### Conclusion
The Cloud Strike Blue Screen Chaos has caused significant disruptions worldwide, particularly in business environments. The incident highlights the vulnerability of Windows systems and the importance of robust security measures. While efforts are underway to resolve the issue, it remains a challenging task due to the scale of impact and complexity involved.

[Badesalz]

Zitat von Exxtreme

Da hat CrowdStroke auf mehreren Ebenen komplett versagt und deshalb war das möglich. Es ist so, Compiler können sehr wohl erkennen, dass man einen potentiellen nullptr dereferenzieren möchte. Hätte man die Warnung beachtet dann wäre wohl nichts passiert. Und ja, in C oder C++ ist das leider nur eine Warnung, die man ignorieren kann.

Ist das in C++ so?
Ich sag nur was ich meistens sage: Mit Rust wäre das nicht passiert

Zitat von readonly

Nein, genau das Problem. Linux ist da leider auch keine Lösung, bzw noch schlimmer. Da reicht es ein kleines Team zu infiltrieren.

Für sowas gibt es (gäbe es) OpenBSD Ich glaub selbst FreeBSD würde reichen

edit:
Ich weiß garnicht was ihr habt. Crowdstrike sagt, man sollte die Soft auf all solchem Zeug nicht fahren
https://blog.fefe.de/?ts=98652216

[Exxtreme]

Zitat von Badesalz

Ist das in C++ so?

Ja. Und ändern können sie es nicht weil das die Abwärtskompatibilität zu bestehenden Code brechen würde. Man kann aber die Compiler so einstellen, dass jede Warnung als Fehler interpretiert wird. Und dann muss man sich um Warnungen kümmern da ansonsten das Programm nicht gebaut werden kann.

Zitat von Badesalz

Ich sag nur was ich meistens sage: Mit Rust wäre das nicht passiert

Mit unsafe rust lässt sich das auch umgehen.

[Ganon]

Zitat von Exxtreme

Ja. Und ändern können sie es nicht weil das die Abwärtskompatibilität zu bestehenden Code brechen würde.

Es gibt diverse APIs in der C++ Standard Library die als deprecated markiert sind. Können != Wollen. Das aktuelle C++ Standards Committee legt immer noch sehr großen Wert auf ihr "zero-overhead principle" und überreicht damit eben sämtliche Verantwortung an die Entwickler.