"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

CrowdStrike-Update legt weltweit Windows-Systeme lahm

creative2k 19.07.2024 - 09:51 19085 141
Posts

Kirby

0x19
Avatar
Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 896
Haben die USBs heute in der Firma krigt. Das Powershellscript werd ich hier nicht posten dürfen denk ich

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7369
Zitat aus einem Post von Kirby
Haben die USBs heute in der Firma krigt. Das Powershellscript werd ich hier nicht posten dürfen denk ich

mir würd reichen wenn du erläuterst was das script genau macht... windows user account passwort cracken via USB stick kenn ich, aber die bitlocker verschlüsselung aufmachen nicht (ohne jetzt danach explizit recherchiert zu haben)

HaBa

Legend
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19728
Zitat aus einem Post von davebastard
was passieren wird ist man wird von einer schlangenöl bude zur nächsten wechseln. Manager brauchen immer jemand wo sie die Schuld abladen können bzw. wo sie sich rausreden können. Ala "wir haben eh die und die Security Software angeschafft aber gegen den Angriff waren wir machtlos"

edit: das schon angesprochene Thema mit den Audits schlägt in die selbe Kerbe


Die Gwandständer mit Präfix "strategisch" gehen den Weg der anderen vom Golfplatz, kaufen von Firma X das service "was sind die aktuellen Bedrohungen?" zu, bei interner IT geben sie mit Drohungen weiter, bei externer IT ists sowieso egal weil "hab eh einen SLA ausgehandelt".

Die "Drohungen" sind mit Datum versehen (KPI für die Prämie?), deshalb spielts es oft nicht das zuerst am Testsystem auszurollen und mal 14 Tage zu testen. Ok, bei wirklich "ohne Update offen wie der Stadtpark" einzusehen, das war aber beim update von CS nicht gegeben.

Meiner Wahrnehmung nach ist nur eigenes Verkacken schlimm, deshalb wird ja auch so viel externalisiert. Wer seine Daten Trump in die cloud kopiert hat eh kein Interesse an seinen Daten aondern nur am business case.

Römi

Hausmeister
Avatar
Registered: Feb 2001
Location: Bez. Tulln
Posts: 5303
So geil. Wir habens erst vor kurzem ausgerollt. Der Falke schlägt zu.
Ich war dagegen das überall zu installieren, aber passt schon, dafür ist jetzt fast alles down.
Auf gewissen Systemen sicher sinnvoll, aber ned überall.

Man kann über den Defender schimpfen was man will, aber er zerstört einem zumindest nicht die ganze Produktion. Sollte den Sumgness faktor der Infosec Heinis auch etwas reduzieren bezüglich der letzten Schrei Falken App die so abertoll ist.

Wah ich mach das schon zu lang.

Roman

CandyMan
Avatar
Registered: Jun 2000
Location: Im schönen Kär..
Posts: 3868
Hab die Reparieraktion von den fab clients nicht live gesehen nur erzählt bekommen. Aber ja, sind auch etliche Hundert Geräte.
Schön das sie das euch Instandhaltern aufs Aug gedrückt haben aber die IT hat halt weder die manpower noch das Wissen wo genau das Glump verbaut ist auf einem 65Ha Gelände.

Die HW ist alles von HP und mit 284 Corporate Richtlinien Software zu gepflastert, ich geh davon aus das die Bitlocker in irgend einer Weise konfiguriert werden bevor die HW an den Enduser geht. Schätze das es da eine Tabelle gibt mit Geräte-ID und Bitlockercode (in welcher Form auch immer) der dann mittels Script am Stick das Gerät identifiziert und den Key einspielt?

sichNix

Here to stay
Registered: Nov 2014
Location: 1230
Posts: 1067
Zum Glück haben wir auch mitgespielt, sowohl Client als auch Server, spannender Tag.

Das Problem an einem reinen defender setup: man kann ihn via gpo abdrehen und jedes red Team lacht sich eines wennst sonst keine andere Lösung am Client hast (und meist dauerts dann nicht mehr lang bis sie dann am dc sind ;) )


Timing ist alles: First Draft/Final Draft: June 11th/July 18th :D
https://www.reddit.com/r/wallstreet...&utm_term=1

Dargor

Shadowlord
Avatar
Registered: Sep 2006
Location: 4020
Posts: 2074
https://www.motorsport-magazin.com/...trike-stoerung/

Mercedes gats am Hungaroring erwischt, dürfte aber relativ rasch behoben worden sein

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Zitat aus einem Post von HaBa
Meiner Wahrnehmung nach ist nur eigenes Verkacken schlimm, deshalb wird ja auch so viel externalisiert.

Das ist leider voellig zutreffend. Und den Leuten ist CYA und Compliance viel wichtiger als tatsaechliche Sicherheit, und der Drang nach dem einen ist so stark geworden, dass aufgrund der baufaelligen Tuerme das andere quasi voellig auszer Reichweite gekommen ist. Die gesamte IT-Branche (aber afaict auch beinahe alle anderen Lebensbereiche, wo sich diese Gelegenheit bietet - Industrie und Wissenschaft z. B.) sind wandelnde Beispiele von Goodhart's Law. Ob man das jemals wieder hinkriegen kann, weisz ich nicht. Diese Iteration menschlicher Zivilisation vielleicht nicht mehr... :(

Kirby

0x19
Avatar
Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 896
Zitat aus einem Post von TOM
mir würd reichen wenn du erläuterst was das script genau macht... windows user account passwort cracken via USB stick kenn ich, aber die bitlocker verschlüsselung aufmachen nicht (ohne jetzt danach explizit recherchiert zu haben)

So nochmal genauer drübergschaut. Bins nur überflogen.

Ich Berichtige:
Es wurde eine Liste mit allen, knapp 43k Geräten, erstellt. Da sind Infos wie MachineName,ID,TimeStamp,RecoveryKey und KeyID drinnen.
Die werden dann mit Regex abgeglichen und der Bitlocker wird mittels "manage-bde -unlock" entsperrt. Danach der Delete con D:\Windows\System32\drivers\CrowdStrike\C-00000291*.
Vom Hörensagen am Raucherhof gab es aber Probleme auf Windows 10 weil da angeblich die Paths anders sind.

Jetzt hat natürlich jede Abteilung alle Keys von den Anlagen ;)

E: Die Hardware ist bei uns gemischt HP/Lenovo. Lustigerweise haben die Lenovo Geräte fast alle ohne Fix funktioniert.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16839
Zitat aus einem Post von Römi
So geil. Wir habens erst vor kurzem ausgerollt. Der Falke schlägt zu.
Ich war dagegen das überall zu installieren, aber passt schon, dafür ist jetzt fast alles down.
Auf gewissen Systemen sicher sinnvoll, aber ned überall.

So ist es. Aber Crowdstrike werkt da massiv entgegen mit: man hat keine komplette Sichtbarkeit und Restrisiko etc. verdienen natürlich per asset.
Würde das ebenfalls nicht auf Produktionskritischen System aufbringen sondern auf alle rund herum.
Ist halt immer ein trade off

WONDERMIKE

Administrator
kenough
Avatar
Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10666
Zitat aus einem Post von Kirby
Jetzt hat natürlich jede Abteilung alle Keys von den Anlagen ;)

Naja, das ist mit der Key Rotation aber auch nur ein kurzfristiges Thema.

Kirby

0x19
Avatar
Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 896
Zitat aus einem Post von WONDERMIKE
Naja, das ist mit der Key Rotation aber auch nur ein kurzfristiges Thema.

huh? Wann rotieren die? Oder ist das individuell anpassbar?

Unholy

Freak
Avatar
Registered: Jan 2001
Location: Vienna
Posts: 3564
Wenn die devices im mdm sind intune kannst es rotieren.

HaBa

Legend
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19728
Wie ist das eigentlich "normal" auf Kundenseite, wird da immer jedes update sofort eingespielt? Testet man da nicht alles irgendwie vorher ein paar Tage bei unkritischen updates?

@COLOSSUS: ich finde den Grundgedanken hinter "compliance" usw. sogar gut.

Aber nicht die ganzen BWLer die sich ohne Sinn und Verstand sklavisch nur an Hakerl in xls orientieren.

Hat eigentlich schon jemand die russischen Hacker identifiziert die dafür verantwortlich sind? Damit diese Industrie weiter solche tollen Produkte pushen kann?

semteX

begehrt die rostschaufel
Avatar
Registered: Oct 2002
Location: Pre
Posts: 14594
Zitat aus einem Post von HaBa
Hat eigentlich schon jemand die russischen Hacker identifiziert die dafür verantwortlich sind? Damit diese Industrie weiter solche tollen Produkte pushen kann?

Das macht crowdstrike
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz