Römi
Hausmeister
|
Wie ist das eigentlich "normal" auf Kundenseite, wird da immer jedes update sofort eingespielt? Testet man da nicht alles irgendwie vorher ein paar Tage bei unkritischen updates? Soweit ich weiß war das nur ein definiton update, und die werden eigentlich immer ohne weitere Tests laufend installiert, oft alle paar Stunden. Wird bei CS wohl nicht anders sein. Und das kann auch niemand auf Kundenseite testen, alle paar Stunden - wie soll das gehen? Andererseits soll natürlich der Schutz immer aktuell sein. Sollte normal halt auch ned möglich sein mit sowas den ganzen PC zu bricken. Und stimmt mit n-1, Freund von mir - die hatten bewusst nicht die letzte version freigegeben, hats genauso erwischt. Also da hat CS hat absolut total versagt - etwas viel schlimmeres außer Ransomware / argen Datenverlust gibts eigentlich kaum mehr. Andererseits ist eh gut wenns hin und wieder richtig scheppert, dann wird den Leuten wieder bewusst dass man sich nicht auf alles blind verlassen kann.
|
davebastard
Vinyl-Sammler
|
Hilf mir da kurz weiter:
Weshalb hast hier keine kryptographische validierung bzw. Wie begründest du die. Kann dem gerade nicht folgen. afaics, wenns die geben würde, würde ein file mit nur nullen drinnen nicht durchrutschen. würd ja schon md5 reichen
Bearbeitet von davebastard am 20.07.2024, 17:25
|
smashIt
master of disaster
|
nur wenn der fehler nach der signierung passiert.
wenn eine bereits kaputte datei signiert wird hilft dir das garnichts.
|
semteX
begehrt die rostschaufel
|
Was mich dann noch viel mehr wundert wie das jemals durch QA kommen konnt. Bei uns hats win11/server2016/2019/2022 mit ganz vielen unterschiedlichen patchständen erwischt, da gibt's ausser "windows" keinen gemeinsamen Nenner. Denen muss ja dann auch die komplette QA Umgebung im crashloop gegangen sein.  naja, die hooken sich auf kernel ebene on load in irgendwelchen windows routinen und crashen die dank ausreichend nulls. und windows reagier da etwas ungehaltn mit einem "na dann halt ned, kernel panic". zumindest reim ich mir das so zusammen.
|
davebastard
Vinyl-Sammler
|
Ja eh aber das muss ja trotzdem bei einem Testdeployment bei der QA auch auffallen, sind ja nicht nur exotische Systeme betroffen sondern jeder 3te Windows Rechner oder noch mehr
|
Smut
takeover & ether
|
nur wenn der fehler nach der signierung passiert.
wenn eine bereits kaputte datei signiert wird hilft dir das garnichts. Wie soll das gehen? Zum signieren muss ich das ja zuerst hashen. Allerdings hat eine file auch Meta Infos. Dh. Selbst wenn die komplett mit 0er ist, hast einen gültigen hash. Oder wie ist das gemeint @colo? Wär natürlich wild wenn die file keine kryptographischen integrationsschutz hat. Deshalb frag ich nach ob das wirklich so ist. Würde mich interessieren. Thx
|
eXe
Little Overclocker
|
automatische updates sind praktisch. aber ich frag mich obs bei jedem (nicht kritischem) update bei einer systemrelevanten software wirklich unmittelbar passieren MUSS. ich meine das teil läuft nunmal naturgemäß mit den höchsten berechtigungen...
bei der software die wir selber releasen gibts gaaaanz strenge regeln,aber bei einer software die hunderte MA und generell die geschäftsfähigkeit des unternehmens betrifft: wird schon passen. schadensersatz gibts bestimmt keinen.
ich glaub die zuständigen machen sichs da einfach und sagen: wir nutzen eh state of the art software mit unmittelbaren updates. alles gut den gesetzen ham wir entsprochen.
abgesehen davon: eine eine einzelne person könnte unsere komplette IT in der EU lahmlegen oder kompromitieren, aber das geht ja weit über crowdstrike hinaus ...
Bearbeitet von eXe am 20.07.2024, 21:26
|
sichNix
Here to stay
|
Im einem Blog von cloudflare war die Rede von 22 Minuten vom erscheinen eines Zero day bis zum ersten ausnutzen, das Katz und Maus spiel wird anscheinend immer kürzer. Möcht aber damit nicht diesen Fehler relativieren, egal obs jetzt ein doofer Zusammenhang war oder nicht, noch gibt's ja nichts offizielles vom Hersteller.
|
HaBa
VereinsmitgliedDr. Funkenstein
|
Hier noch etwas Info von einem Ex-Win-Dev (von ihm ist der taskmanager iirc) https://x.com/davepl1968/status/181..._aaO4w&s=19For those new to it, a dump like this can be a bit opaque. But what you're looking at is a piece of code in csagen1 that has tried to de-reference through a null pointer (or more accurately, a non-zero BS address of x9C). And so it crashed, and given how deep the call stack is into csagen, at that point you'd call the developer responsible for csagen and give them the remote so they could look at it.
The problem in this case is that csagen isn't a Windows component at all, it's the Crowdstrike driver. My current understanding is that the driver itself passed WHQL and is signed, but that it can download p-code and execute THAT, and that the p-code isn't signed (by Microsoft, at least). Privilegien sind das eine, der runlevel das andere => irgend eine anticheat-Software (die sind hier ja immer stark diskutiert worden) könnte das genauso auslösen. Auf airline- und Krankenhaussystemen natürlich eher unwahrscheinlich, aber vom Problem her gleich.
|
eXe
Little Overclocker
|
Im einem Blog von cloudflare war die Rede von 22 Minuten vom erscheinen eines Zero day bis zum ersten ausnutzen, das Katz und Maus spiel wird anscheinend immer kürzer.
Möcht aber damit nicht diesen Fehler relativieren, egal obs jetzt ein doofer Zusammenhang war oder nicht, noch gibt's ja nichts offizielles vom Hersteller. das kann man doch getrost als werbung in eigener sache abtun. was genau hat/hätte das kompromitierende update beinhaltet und war es wirklich so kritisch es weltweit sofort auszurollen. ich hab diesbzgl nichts gefunden
|
UnleashThebeast
unsäglicher Prolet
|
|
sichNix
Here to stay
|
das kann man doch getrost als werbung in eigener sache abtun. was genau hat/hätte das kompromitierende update beinhaltet und war es wirklich so kritisch es weltweit sofort auszurollen. ich hab diesbzgl nichts gefunden Ich versteh leider grad nicht wieso das Werbung für crowdstike sein soll, das sind ja zwei verschiedene Firmen. Offiziel gibt's halt leider noch nix, nur was von firmenfremden analysiert wurde. Edit: https://blogs.microsoft.com/blog/20...dstrike-outage/While software updates may occasionally cause disturbances, significant incidents like the CrowdStrike event are infrequent. We currently estimate that CrowdStrike’s update affected 8.5 million Windows devices, or less than one percent of all Windows machines. While the percentage was small, the broad economic and societal impacts reflect the use of CrowdStrike by enterprises that run many critical services.
Bearbeitet von sichNix am 21.07.2024, 00:21
|
Dargor
Shadowlord
|
|
InfiX
she/her
|
naja, da steht Flugnavigation und Flugverkehrskontrolle, ausgefallen ist ja eher die verwaltung und ticketsysteme etc.
|
davebastard
Vinyl-Sammler
|
an lebenserhaltenen Maschinen im KH glaub ich auch eher nicht dass es drauf rennt bzw. gelaufen ist. die sind ja sicher extra zertifiziert. eigentlich eh alles wo Menschenleben direkt in Gefahr ist...
|
Anmeldung