CrowdStrike-Update legt weltweit Windows-Systeme lahm

Kirby

0x19

Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 872

19.07.2024 - 17:42

Haben die USBs heute in der Firma krigt. Das Powershellscript werd ich hier nicht posten dürfen denk ich

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7341

19.07.2024 - 17:45

Zitat aus einem Post von Kirby
Haben die USBs heute in der Firma krigt. Das Powershellscript werd ich hier nicht posten dürfen denk ich

mir würd reichen wenn du erläuterst was das script genau macht... windows user account passwort cracken via USB stick kenn ich, aber die bitlocker verschlüsselung aufmachen nicht (ohne jetzt danach explizit recherchiert zu haben)

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19692

19.07.2024 - 17:58

Zitat aus einem Post von davebastard
was passieren wird ist man wird von einer schlangenöl bude zur nächsten wechseln. Manager brauchen immer jemand wo sie die Schuld abladen können bzw. wo sie sich rausreden können. Ala "wir haben eh die und die Security Software angeschafft aber gegen den Angriff waren wir machtlos"

edit: das schon angesprochene Thema mit den Audits schlägt in die selbe Kerbe

Die Gwandständer mit Präfix "strategisch" gehen den Weg der anderen vom Golfplatz, kaufen von Firma X das service "was sind die aktuellen Bedrohungen?" zu, bei interner IT geben sie mit Drohungen weiter, bei externer IT ists sowieso egal weil "hab eh einen SLA ausgehandelt".

Die "Drohungen" sind mit Datum versehen (KPI für die Prämie?), deshalb spielts es oft nicht das zuerst am Testsystem auszurollen und mal 14 Tage zu testen. Ok, bei wirklich "ohne Update offen wie der Stadtpark" einzusehen, das war aber beim update von CS nicht gegeben.

Meiner Wahrnehmung nach ist nur eigenes Verkacken schlimm, deshalb wird ja auch so viel externalisiert. Wer seine Daten Trump in die cloud kopiert hat eh kein Interesse an seinen Daten aondern nur am business case.

Römi

Hausmeister

Registered: Feb 2001
Location: Bez. Tulln
Posts: 5295

19.07.2024 - 18:06

So geil. Wir habens erst vor kurzem ausgerollt. Der Falke schlägt zu.
Ich war dagegen das überall zu installieren, aber passt schon, dafür ist jetzt fast alles down.
Auf gewissen Systemen sicher sinnvoll, aber ned überall.

Man kann über den Defender schimpfen was man will, aber er zerstört einem zumindest nicht die ganze Produktion. Sollte den Sumgness faktor der Infosec Heinis auch etwas reduzieren bezüglich der letzten Schrei Falken App die so abertoll ist.

Wah ich mach das schon zu lang.

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 3835

19.07.2024 - 18:21

Hab die Reparieraktion von den fab clients nicht live gesehen nur erzählt bekommen. Aber ja, sind auch etliche Hundert Geräte.
Schön das sie das euch Instandhaltern aufs Aug gedrückt haben aber die IT hat halt weder die manpower noch das Wissen wo genau das Glump verbaut ist auf einem 65Ha Gelände.

Die HW ist alles von HP und mit 284 Corporate Richtlinien Software zu gepflastert, ich geh davon aus das die Bitlocker in irgend einer Weise konfiguriert werden bevor die HW an den Enduser geht. Schätze das es da eine Tabelle gibt mit Geräte-ID und Bitlockercode (in welcher Form auch immer) der dann mittels Script am Stick das Gerät identifiziert und den Key einspielt?

sichNix

Here to stay

Registered: Nov 2014
Location: 1230
Posts: 1063

19.07.2024 - 18:35

Zum Glück haben wir auch mitgespielt, sowohl Client als auch Server, spannender Tag.

Das Problem an einem reinen defender setup: man kann ihn via gpo abdrehen und jedes red Team lacht sich eines wennst sonst keine andere Lösung am Client hast (und meist dauerts dann nicht mehr lang bis sie dann am dc sind

)

Timing ist alles: First Draft/Final Draft: June 11th/July 18th

https://www.reddit.com/r/wallstreet...&utm_term=1

Dargor

Shadowlord

Registered: Sep 2006
Location: 4020
Posts: 2048

19.07.2024 - 18:45

https://www.motorsport-magazin.com/...trike-stoerung/

Mercedes gats am Hungaroring erwischt, dürfte aber relativ rasch behoben worden sein

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12037

19.07.2024 - 18:50

Zitat aus einem Post von HaBa
Meiner Wahrnehmung nach ist nur eigenes Verkacken schlimm, deshalb wird ja auch so viel externalisiert.

Das ist leider voellig zutreffend. Und den Leuten ist CYA und Compliance viel wichtiger als tatsaechliche Sicherheit, und der Drang nach dem einen ist so stark geworden, dass aufgrund der baufaelligen Tuerme das andere quasi voellig auszer Reichweite gekommen ist. Die gesamte IT-Branche (aber afaict auch beinahe alle anderen Lebensbereiche, wo sich diese Gelegenheit bietet - Industrie und Wissenschaft z. B.) sind wandelnde Beispiele von Goodhart's Law. Ob man das jemals wieder hinkriegen kann, weisz ich nicht. Diese Iteration menschlicher Zivilisation vielleicht nicht mehr...

Kirby

0x19

Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 872

19.07.2024 - 19:11

Zitat aus einem Post von TOM
mir würd reichen wenn du erläuterst was das script genau macht... windows user account passwort cracken via USB stick kenn ich, aber die bitlocker verschlüsselung aufmachen nicht (ohne jetzt danach explizit recherchiert zu haben)

So nochmal genauer drübergschaut. Bins nur überflogen.

Ich Berichtige:
Es wurde eine Liste mit allen, knapp 43k Geräten, erstellt. Da sind Infos wie MachineName,ID,TimeStamp,RecoveryKey und KeyID drinnen.
Die werden dann mit Regex abgeglichen und der Bitlocker wird mittels "manage-bde -unlock" entsperrt. Danach der Delete con D:\Windows\System32\drivers\CrowdStrike\C-00000291*.
Vom Hörensagen am Raucherhof gab es aber Probleme auf Windows 10 weil da angeblich die Paths anders sind.

Jetzt hat natürlich jede Abteilung alle Keys von den Anlagen

E: Die Hardware ist bei uns gemischt HP/Lenovo. Lustigerweise haben die Lenovo Geräte fast alle ohne Fix funktioniert.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16777

19.07.2024 - 19:25

Zitat aus einem Post von Römi
So geil. Wir habens erst vor kurzem ausgerollt. Der Falke schlägt zu.
Ich war dagegen das überall zu installieren, aber passt schon, dafür ist jetzt fast alles down.
Auf gewissen Systemen sicher sinnvoll, aber ned überall.

So ist es. Aber Crowdstrike werkt da massiv entgegen mit: man hat keine komplette Sichtbarkeit und Restrisiko etc. verdienen natürlich per asset.
Würde das ebenfalls nicht auf Produktionskritischen System aufbringen sondern auf alle rund herum.
Ist halt immer ein trade off

WONDERMIKE

Administrator
kenough

Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10648

19.07.2024 - 19:59

Zitat aus einem Post von Kirby
Jetzt hat natürlich jede Abteilung alle Keys von den Anlagen

Naja, das ist mit der Key Rotation aber auch nur ein kurzfristiges Thema.

Kirby

0x19

Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 872

19.07.2024 - 20:54

Zitat aus einem Post von WONDERMIKE
Naja, das ist mit der Key Rotation aber auch nur ein kurzfristiges Thema.

huh? Wann rotieren die? Oder ist das individuell anpassbar?

Unholy

Freak

Registered: Jan 2001
Location: Vienna
Posts: 3561

19.07.2024 - 21:45

Wenn die devices im mdm sind intune kannst es rotieren.

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19692

19.07.2024 - 23:29

Wie ist das eigentlich "normal" auf Kundenseite, wird da immer jedes update sofort eingespielt? Testet man da nicht alles irgendwie vorher ein paar Tage bei unkritischen updates?

@COLOSSUS: ich finde den Grundgedanken hinter "compliance" usw. sogar gut.

Aber nicht die ganzen BWLer die sich ohne Sinn und Verstand sklavisch nur an Hakerl in xls orientieren.

Hat eigentlich schon jemand die russischen Hacker identifiziert die dafür verantwortlich sind? Damit diese Industrie weiter solche tollen Produkte pushen kann?

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14493

20.07.2024 - 05:53

Zitat aus einem Post von HaBa
Hat eigentlich schon jemand die russischen Hacker identifiziert die dafür verantwortlich sind? Damit diese Industrie weiter solche tollen Produkte pushen kann?

Das macht crowdstrike

Kirby 0x19 Registered: Jun 2017 Location: Lesachtal/Villac.. Posts: 872	19.07.2024 - 17:42 Haben die USBs heute in der Firma krigt. Das Powershellscript werd ich hier nicht posten dürfen denk ich
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7341	19.07.2024 - 17:45 Zitat aus einem Post von Kirby Haben die USBs heute in der Firma krigt. Das Powershellscript werd ich hier nicht posten dürfen denk ich mir würd reichen wenn du erläuterst was das script genau macht... windows user account passwort cracken via USB stick kenn ich, aber die bitlocker verschlüsselung aufmachen nicht (ohne jetzt danach explizit recherchiert zu haben)
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19692	19.07.2024 - 17:58 Zitat aus einem Post von davebastard was passieren wird ist man wird von einer schlangenöl bude zur nächsten wechseln. Manager brauchen immer jemand wo sie die Schuld abladen können bzw. wo sie sich rausreden können. Ala "wir haben eh die und die Security Software angeschafft aber gegen den Angriff waren wir machtlos" edit: das schon angesprochene Thema mit den Audits schlägt in die selbe Kerbe Die Gwandständer mit Präfix "strategisch" gehen den Weg der anderen vom Golfplatz, kaufen von Firma X das service "was sind die aktuellen Bedrohungen?" zu, bei interner IT geben sie mit Drohungen weiter, bei externer IT ists sowieso egal weil "hab eh einen SLA ausgehandelt". Die "Drohungen" sind mit Datum versehen (KPI für die Prämie?), deshalb spielts es oft nicht das zuerst am Testsystem auszurollen und mal 14 Tage zu testen. Ok, bei wirklich "ohne Update offen wie der Stadtpark" einzusehen, das war aber beim update von CS nicht gegeben. Meiner Wahrnehmung nach ist nur eigenes Verkacken schlimm, deshalb wird ja auch so viel externalisiert. Wer seine Daten Trump in die cloud kopiert hat eh kein Interesse an seinen Daten aondern nur am business case.
Römi Hausmeister Registered: Feb 2001 Location: Bez. Tulln Posts: 5295	19.07.2024 - 18:06 So geil. Wir habens erst vor kurzem ausgerollt. Der Falke schlägt zu. Ich war dagegen das überall zu installieren, aber passt schon, dafür ist jetzt fast alles down. Auf gewissen Systemen sicher sinnvoll, aber ned überall. Man kann über den Defender schimpfen was man will, aber er zerstört einem zumindest nicht die ganze Produktion. Sollte den Sumgness faktor der Infosec Heinis auch etwas reduzieren bezüglich der letzten Schrei Falken App die so abertoll ist. Wah ich mach das schon zu lang.
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 3835	19.07.2024 - 18:21 Hab die Reparieraktion von den fab clients nicht live gesehen nur erzählt bekommen. Aber ja, sind auch etliche Hundert Geräte. Schön das sie das euch Instandhaltern aufs Aug gedrückt haben aber die IT hat halt weder die manpower noch das Wissen wo genau das Glump verbaut ist auf einem 65Ha Gelände. Die HW ist alles von HP und mit 284 Corporate Richtlinien Software zu gepflastert, ich geh davon aus das die Bitlocker in irgend einer Weise konfiguriert werden bevor die HW an den Enduser geht. Schätze das es da eine Tabelle gibt mit Geräte-ID und Bitlockercode (in welcher Form auch immer) der dann mittels Script am Stick das Gerät identifiziert und den Key einspielt?
sichNix Here to stay Registered: Nov 2014 Location: 1230 Posts: 1063	19.07.2024 - 18:35 Zum Glück haben wir auch mitgespielt, sowohl Client als auch Server, spannender Tag. Das Problem an einem reinen defender setup: man kann ihn via gpo abdrehen und jedes red Team lacht sich eines wennst sonst keine andere Lösung am Client hast (und meist dauerts dann nicht mehr lang bis sie dann am dc sind ) Timing ist alles: First Draft/Final Draft: June 11th/July 18th https://www.reddit.com/r/wallstreet...&utm_term=1
Dargor Shadowlord Registered: Sep 2006 Location: 4020 Posts: 2048	19.07.2024 - 18:45 https://www.motorsport-magazin.com/...trike-stoerung/ Mercedes gats am Hungaroring erwischt, dürfte aber relativ rasch behoben worden sein
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12037	19.07.2024 - 18:50 Zitat aus einem Post von HaBa Meiner Wahrnehmung nach ist nur eigenes Verkacken schlimm, deshalb wird ja auch so viel externalisiert. Das ist leider voellig zutreffend. Und den Leuten ist CYA und Compliance viel wichtiger als tatsaechliche Sicherheit, und der Drang nach dem einen ist so stark geworden, dass aufgrund der baufaelligen Tuerme das andere quasi voellig auszer Reichweite gekommen ist. Die gesamte IT-Branche (aber afaict auch beinahe alle anderen Lebensbereiche, wo sich diese Gelegenheit bietet - Industrie und Wissenschaft z. B.) sind wandelnde Beispiele von Goodhart's Law. Ob man das jemals wieder hinkriegen kann, weisz ich nicht. Diese Iteration menschlicher Zivilisation vielleicht nicht mehr...
Kirby 0x19 Registered: Jun 2017 Location: Lesachtal/Villac.. Posts: 872	19.07.2024 - 19:11 Zitat aus einem Post von TOM mir würd reichen wenn du erläuterst was das script genau macht... windows user account passwort cracken via USB stick kenn ich, aber die bitlocker verschlüsselung aufmachen nicht (ohne jetzt danach explizit recherchiert zu haben) So nochmal genauer drübergschaut. Bins nur überflogen. Ich Berichtige: Es wurde eine Liste mit allen, knapp 43k Geräten, erstellt. Da sind Infos wie MachineName,ID,TimeStamp,RecoveryKey und KeyID drinnen. Die werden dann mit Regex abgeglichen und der Bitlocker wird mittels "manage-bde -unlock" entsperrt. Danach der Delete con D:\Windows\System32\drivers\CrowdStrike\C-00000291*. Vom Hörensagen am Raucherhof gab es aber Probleme auf Windows 10 weil da angeblich die Paths anders sind. Jetzt hat natürlich jede Abteilung alle Keys von den Anlagen E: Die Hardware ist bei uns gemischt HP/Lenovo. Lustigerweise haben die Lenovo Geräte fast alle ohne Fix funktioniert.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16777	19.07.2024 - 19:25 Zitat aus einem Post von Römi So geil. Wir habens erst vor kurzem ausgerollt. Der Falke schlägt zu. Ich war dagegen das überall zu installieren, aber passt schon, dafür ist jetzt fast alles down. Auf gewissen Systemen sicher sinnvoll, aber ned überall. So ist es. Aber Crowdstrike werkt da massiv entgegen mit: man hat keine komplette Sichtbarkeit und Restrisiko etc. verdienen natürlich per asset. Würde das ebenfalls nicht auf Produktionskritischen System aufbringen sondern auf alle rund herum. Ist halt immer ein trade off
WONDERMIKE Administrator kenough Registered: Jul 2001 Location: Mojo Dojo Casa H.. Posts: 10648	19.07.2024 - 19:59 Zitat aus einem Post von Kirby Jetzt hat natürlich jede Abteilung alle Keys von den Anlagen Naja, das ist mit der Key Rotation aber auch nur ein kurzfristiges Thema.
Kirby 0x19 Registered: Jun 2017 Location: Lesachtal/Villac.. Posts: 872	19.07.2024 - 20:54 Zitat aus einem Post von WONDERMIKE Naja, das ist mit der Key Rotation aber auch nur ein kurzfristiges Thema. huh? Wann rotieren die? Oder ist das individuell anpassbar?
Unholy Freak Registered: Jan 2001 Location: Vienna Posts: 3561	19.07.2024 - 21:45 Wenn die devices im mdm sind intune kannst es rotieren.
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19692	19.07.2024 - 23:29 Wie ist das eigentlich "normal" auf Kundenseite, wird da immer jedes update sofort eingespielt? Testet man da nicht alles irgendwie vorher ein paar Tage bei unkritischen updates? @COLOSSUS: ich finde den Grundgedanken hinter "compliance" usw. sogar gut. Aber nicht die ganzen BWLer die sich ohne Sinn und Verstand sklavisch nur an Hakerl in xls orientieren. Hat eigentlich schon jemand die russischen Hacker identifiziert die dafür verantwortlich sind? Damit diese Industrie weiter solche tollen Produkte pushen kann?
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14493	20.07.2024 - 05:53 Zitat aus einem Post von HaBa Hat eigentlich schon jemand die russischen Hacker identifiziert die dafür verantwortlich sind? Damit diese Industrie weiter solche tollen Produkte pushen kann? Das macht crowdstrike

CrowdStrike-Update legt weltweit Windows-Systeme lahm

Forum Index > Software > Windows

Kirby

TOM

HaBa

Römi

Roman

sichNix

Dargor

COLOSSUS

Kirby

Smut

WONDERMIKE

Kirby

Unholy

HaBa

semteX