CrowdStrike Logo vor einer wegen des Updates stehenden CNC Maschine
CrowdStrike Logo vor einer wegen des Updates stehenden CNC Maschine
Bildquelle: Moritz Poldrack

CrowdStrike legt global Produktion lahm

von Moritz Poldrack Lesezeit: 3 Min.

Der Antiviren-Anbieter CrowdStrike legt global die Produktion in verschiedenen Branchen lahm. Wir berichten von der Front.

Inhalt

Der Antiviren- und IDS-Anbieter CrowdStrike hat in der Nacht dutzende, wenn nicht hunderte Unternehmen weltweit lahmgelegt. Grund dafür ist ein Fehler im Windows-Kerneltreiber des Anbieters, der die Rechner in einen Bluescreen booten lässt.

Während der Anbieter selbst sich bisher großteils bedeckt hält und mit Kunden direkt kommuniziert, machen sich Nutzer auf Plattformen wie Hackernews und 𝕏/Twitter Luft, weil sie keinen Schadenersatz in Millionenhöhe fordern können und entsprechend von CrowdStrike nicht so viel Aufmerksamkeit abbekommen.

Temporärer Fix schafft Abhilfe bei CrowdStrike BSOD

CrowdStrike BSOD

Nutzer berichten von erfolgreich „reparierten“ Set-ups, indem die folgenden Schritte durchgeführt werden:

  • Nachdem der Rechner bluescreent, startet er in den Wiederherstellungsmodus
  • Den Button „Troubleshoot“ (oder dessen deutsches Äquivalent) drücken
  • Advanced Options
  • Command Prompt
  • move C:\Windows\System32\drivers\CrowdStrike C:\Windows\System32\drivers\Crowdstrike.broken

Wir konnten diese Lösung auf einem integrierten Rechner von faytech verifizieren.

Die offizielle Lösung von CrowdStrike erfordert ebenfalls manuelle Intervention und ist fast identisch. Dabei soll der Kernel Treiber gelöscht werden. Man soll jedoch manuell nach der fehlerhaften Datei suchen.

Fragen zur Ursache

Wie so oft brennt es und die Fragen nach dem Warum lassen nicht auf sich warten. Dabei mangelt es nicht an unrealistischen Spekulationen, vom ungetesteten Update hin zu einer Kompromittierung des Anbieters. Keine dieser Informationen ist bisher handfest und sollte deshalb nicht beachtet werden. Wir werden die Sache im Auge behalten, auf ein Postmortem von CrowdStrike warten und daraus Lektionen ziehen.

SPoF und die Gefahren von Kerneltreibern

Sei es Kernel-Level Anticheat, Antivirenprogramme oder auch ein Trojaner. Wenn ein Treiber Zugriff auf den Kernel hat, muss er sicher laufen. Hier wäre besonders im Serverumfeld die Frage, ob eine traditionelle Lösung von Firewall und abgedichteten Services nicht zu bevorzugen ist. Zumindest für dieses CrowdStrike Update wurde die Frage eindeutig beantwortet. Ob ein Lösungsansatz per se besser ist als eine andere, lässt sich nicht allerdings nicht zentral klären. Der Autor muss jetzt auch zurück an die Front, er hat ein paar Laptops zu rebooten.

Update – 11:57: In einer Stellungnahme der BBC gegenüber, gibt der CEO an, es handle sich nicht um einen Angriff oder einen Sicherheitsvorfall.

Tarnkappe.info

71 Kommentare lesen
Mehr zu dem Thema

Über

Moritz ist von ganzem Herzen Open-Source Programmierer. Neben regelmäßigen Commits für diverse Open-Source-Projekte verfasst er gelegentlich auch Texte für die Tarnkappe. Er findet es echt seltsam über sich in der dritten Person zu schreiben und merkt an, dass seine DMs für alles außer Marketing-Nachrichten offen stehen. Erreichbar ist er auf Matrix (@moritz:poldrack.dev), IRC (mpldr auf libera.chat) und Email (~mpldr/public-inbox@lists.sr.ht).