CrowdStrike-Update legt weltweit Windows-Systeme lahm

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10968

25.07.2024 - 11:48

Zitat aus einem Post von Vinci
https://orf.at/stories/3364643/

Puh Gott sei Dank! Alles wieder gut!

sowas kannst wirklich nicht erfinden.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5256

25.07.2024 - 11:50

Windows-Update erfordert Eingabe des Bitlocker-Keys

Das jüngste Sicherheitsupdate für Windows 10, 11 und gängige Windows-Server-Versionen führt dazu, dass einige Systeme ohne Bitlocker-Key nicht mehr starten.

Microsoft hat bestätigt, dass das jüngste Sicherheitsupdate für Windows-Systeme im Falle einer aktiven Bitlocker-Verschlüsselung zu Problemen führen kann. Einige Nutzer betroffener Systeme werden nach Angaben des Konzerns nach der Installation des Updates dazu aufgefordert, ihren Bitlocker-Recovery-Key einzugeben. Andernfalls lässt sich das Betriebssystem nicht starten.

Link: www.golem.de

na?
wer hat den zettel mit allen bitlocker-keys schon geshreddert?

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16865

25.07.2024 - 15:57

Zitat aus einem Post von COLOSSUS
Wenn das deserialisierte Ding, das ueber kurz oder lang zur Ausfuerhung kommt, nicht dem vom urspr. Einpacker/Serialisierer Erwarteten entspricht, dann folgt daraus, dass es enwteder gar kein effektives Integritaetsprotokoll zwischen Ein- und Auspacker gibt, oder mindestens einer der beiden dieses falsch implementiert (z. B. via einem Bug aus der TOCTOU-Ecke).

Es gibt ja nur eine endliche Menge an Szenarien, wie es zu dem Problem hat kommen koennen:

1.) Das kaputte Update wurde genau so released, wie es am anderen Ende bei den Clients angekommen ist. Das spricht dafuer, dass es wohl quasi keine Testinfrastruktur gibt.
2.) Das kaputte Update wurde am Client anders empfangen, als es beim Urheber "gemeint" war. Das spricht dafuer, dass der wichtigste Inhalt des Updates...
2a.) beim Einpacken (aber vor einem allfaelligen Signieren), oder...
2b.) beim Auspacken (aber nach dem allfaelligen Validieren) ...
durch irgendeinen Umstand abgeaendert wurde, und der Client das dann geladen hat und ungespitzt in den Boden eingefahren ist. Eine alternative Erklaerung dafuer ist, dass...
2c.) es ueberhaupt gar keine Art von Signatur gibt, die zwischen Urheber und Client geprueft werden koennte, um Authentizitaet und Integritaet sicherzustellen.

Keiner der praesentierten Erklaerungsansaetze wuerde mich CrowdStrike einsetzen lassen wollen.

Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.
https://www.crowdstrike.com/blog/te...ain-null-bytes/

clauskadrnoschka

still oc.at-addicted

Registered: Mar 2001
Location: Austria, Waldvie..
Posts: 1623

25.07.2024 - 16:08

Zitat aus einem Post von Smut
Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.

Heißt das, dass Windows Schuld an den Null-Bytes ist?

Edit: Frage nachdem ich den Artikel gelesen habe...

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14656

25.07.2024 - 16:11

Zitat aus einem Post von Smut
Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.
https://www.crowdstrike.com/blog/te...ain-null-bytes/

"unser file war eh komplett gucci, es hatte nur 0 byte on disk weil unser update trotzdem während des schreibens deine hütte geschrottet hat. sorry! aber das file selbst war super ok!"

ok, d.h. ev verwenden sie signaturen / checksumming / ... das update war halt trotzdem schrott und hat den sensor incl OS während des update-ladens noch in den BSOD genuked.

@clauskadrnoschka: quasi, it's a feature, not a bug. "das is halt die art und weise wie windows files schreibt, wenn du ihm während des schreibens den strom ziehst"

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50185

25.07.2024 - 18:56

Fefes Blog

CrowdStrike will be liable for damages in France, based on the OVH precedent

Link: blog.fefe.de

Wird spannend wieviel da raus kommt und ob andere Länder ähnliche Gesetzeslagen haben

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16865

25.07.2024 - 20:45

Zuerst mal ob etwas rauskommt.

“ Now a common questions is whether CrowdStrike will be liable for damages? The answer is most certainly yes. ”

watercool

BYOB

Registered: Jan 2003
Location: -
Posts: 5958

25.07.2024 - 20:54

Das klingt nach einem der sich wichtig machen will. Was der OVH Brand mit crowdstrike is ja schwer an den Haaren herbei gezogen.

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14656

25.07.2024 - 22:16

ja nein jein. wird halt am ende des tages damit zamhängen, wie das update passiern konnte und obs "dem stand der technik" entsprach.

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19746

26.07.2024 - 07:33

Ich hab den ex-MS-dev weiter oben ja schonmal textlich verlinkt.

Hier ein Video zum Thema, technische Erklärung in den letzten 5 min.

Es gibt jetzt auch ein Nachbetrachtungs-Video das mMn auch generell schön einordnet =>

liltan0x

Bloody Newbie

Registered: Jul 2024
Location: void
Posts: 38

31.07.2024 - 09:44

Ich habe letztens mit jemanden aus einer Bude gesprochen wo Crowdstrike alles lahmgelegt hat bei dem Incident.

Es wurde gelobt seitens der Krawatten, dass Crowdstrike ja vor so viel Bedrohungen geschützt hat "nachweislich" weils soooo viel gefunden hat. Der Ausfall - wo im ganzen Konzern die Prod stillstand - ist kein Grund, das Schlangenöl nun nicht mehr einzusetzen.

Sie sind übrigends auch in der MS Cloud heftigs vertreten mit ihren internen Daten

Denen kannst allen nicht mehr helfen.

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14656

31.07.2024 - 09:50

wieso gibts eigentlich no immer keinen CI write-up, wie ma das update so versenken konnt?

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10968

31.07.2024 - 09:55

ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14656

31.07.2024 - 10:09

was genau? die "angriffe" oder dass crowdstrike seine prod nuked?

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10968

31.07.2024 - 10:13

beides.

sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10968	25.07.2024 - 11:48 Zitat aus einem Post von Vinci https://orf.at/stories/3364643/ Puh Gott sei Dank! Alles wieder gut! sowas kannst wirklich nicht erfinden.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5256	25.07.2024 - 11:50 Windows-Update erfordert Eingabe des Bitlocker-Keys Das jüngste Sicherheitsupdate für Windows 10, 11 und gängige Windows-Server-Versionen führt dazu, dass einige Systeme ohne Bitlocker-Key nicht mehr starten. Microsoft hat bestätigt, dass das jüngste Sicherheitsupdate für Windows-Systeme im Falle einer aktiven Bitlocker-Verschlüsselung zu Problemen führen kann. Einige Nutzer betroffener Systeme werden nach Angaben des Konzerns nach der Installation des Updates dazu aufgefordert, ihren Bitlocker-Recovery-Key einzugeben. Andernfalls lässt sich das Betriebssystem nicht starten. Link: www.golem.de na? wer hat den zettel mit allen bitlocker-keys schon geshreddert?
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16865	25.07.2024 - 15:57 Zitat aus einem Post von COLOSSUS Wenn das deserialisierte Ding, das ueber kurz oder lang zur Ausfuerhung kommt, nicht dem vom urspr. Einpacker/Serialisierer Erwarteten entspricht, dann folgt daraus, dass es enwteder gar kein effektives Integritaetsprotokoll zwischen Ein- und Auspacker gibt, oder mindestens einer der beiden dieses falsch implementiert (z. B. via einem Bug aus der TOCTOU-Ecke). Es gibt ja nur eine endliche Menge an Szenarien, wie es zu dem Problem hat kommen koennen: 1.) Das kaputte Update wurde genau so released, wie es am anderen Ende bei den Clients angekommen ist. Das spricht dafuer, dass es wohl quasi keine Testinfrastruktur gibt. 2.) Das kaputte Update wurde am Client anders empfangen, als es beim Urheber "gemeint" war. Das spricht dafuer, dass der wichtigste Inhalt des Updates... 2a.) beim Einpacken (aber vor einem allfaelligen Signieren), oder... 2b.) beim Auspacken (aber nach dem allfaelligen Validieren) ... durch irgendeinen Umstand abgeaendert wurde, und der Client das dann geladen hat und ungespitzt in den Boden eingefahren ist. Eine alternative Erklaerung dafuer ist, dass... 2c.) es ueberhaupt gar keine Art von Signatur gibt, die zwischen Urheber und Client geprueft werden koennte, um Authentizitaet und Integritaet sicherzustellen. Keiner der praesentierten Erklaerungsansaetze wuerde mich CrowdStrike einsetzen lassen wollen. Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. https://www.crowdstrike.com/blog/te...ain-null-bytes/
clauskadrnoschka still oc.at-addicted Registered: Mar 2001 Location: Austria, Waldvie.. Posts: 1623	25.07.2024 - 16:08 Zitat aus einem Post von Smut Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. Heißt das, dass Windows Schuld an den Null-Bytes ist? Edit: Frage nachdem ich den Artikel gelesen habe...
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14656	25.07.2024 - 16:11 Zitat aus einem Post von Smut Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. https://www.crowdstrike.com/blog/te...ain-null-bytes/ "unser file war eh komplett gucci, es hatte nur 0 byte on disk weil unser update trotzdem während des schreibens deine hütte geschrottet hat. sorry! aber das file selbst war super ok!" ok, d.h. ev verwenden sie signaturen / checksumming / ... das update war halt trotzdem schrott und hat den sensor incl OS während des update-ladens noch in den BSOD genuked. @clauskadrnoschka: quasi, it's a feature, not a bug. "das is halt die art und weise wie windows files schreibt, wenn du ihm während des schreibens den strom ziehst"
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50185	25.07.2024 - 18:56 Fefes Blog CrowdStrike will be liable for damages in France, based on the OVH precedent Link: blog.fefe.de Wird spannend wieviel da raus kommt und ob andere Länder ähnliche Gesetzeslagen haben
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16865	25.07.2024 - 20:45 Zuerst mal ob etwas rauskommt. “ Now a common questions is whether CrowdStrike will be liable for damages? The answer is most certainly yes. ”
watercool BYOB Registered: Jan 2003 Location: - Posts: 5958	25.07.2024 - 20:54 Das klingt nach einem der sich wichtig machen will. Was der OVH Brand mit crowdstrike is ja schwer an den Haaren herbei gezogen.
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14656	25.07.2024 - 22:16 ja nein jein. wird halt am ende des tages damit zamhängen, wie das update passiern konnte und obs "dem stand der technik" entsprach.
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19746	26.07.2024 - 07:33 Ich hab den ex-MS-dev weiter oben ja schonmal textlich verlinkt. Hier ein Video zum Thema, technische Erklärung in den letzten 5 min. Es gibt jetzt auch ein Nachbetrachtungs-Video das mMn auch generell schön einordnet =>
liltan0x Bloody Newbie Registered: Jul 2024 Location: void Posts: 38	31.07.2024 - 09:44 Ich habe letztens mit jemanden aus einer Bude gesprochen wo Crowdstrike alles lahmgelegt hat bei dem Incident. Es wurde gelobt seitens der Krawatten, dass Crowdstrike ja vor so viel Bedrohungen geschützt hat "nachweislich" weils soooo viel gefunden hat. Der Ausfall - wo im ganzen Konzern die Prod stillstand - ist kein Grund, das Schlangenöl nun nicht mehr einzusetzen. Sie sind übrigends auch in der MS Cloud heftigs vertreten mit ihren internen Daten Denen kannst allen nicht mehr helfen.
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14656	31.07.2024 - 09:50 wieso gibts eigentlich no immer keinen CI write-up, wie ma das update so versenken konnt?
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10968	31.07.2024 - 09:55 ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14656	31.07.2024 - 10:09 was genau? die "angriffe" oder dass crowdstrike seine prod nuked?
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10968	31.07.2024 - 10:13 beides.

CrowdStrike-Update legt weltweit Windows-Systeme lahm

Forum Index > Software > Windows

sk/\r

smashIt

Smut

clauskadrnoschka

semteX

Viper780

Smut

watercool

semteX

HaBa

liltan0x

semteX

sk/\r

semteX

sk/\r