CrowdStrike-Update legt weltweit Windows-Systeme lahm

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10758

25.07.2024 - 11:48

Zitat aus einem Post von Vinci
https://orf.at/stories/3364643/

Puh Gott sei Dank! Alles wieder gut!

sowas kannst wirklich nicht erfinden.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5152

25.07.2024 - 11:50

Windows-Update erfordert Eingabe des Bitlocker-Keys

Das jüngste Sicherheitsupdate für Windows 10, 11 und gängige Windows-Server-Versionen führt dazu, dass einige Systeme ohne Bitlocker-Key nicht mehr starten.

Microsoft hat bestätigt, dass das jüngste Sicherheitsupdate für Windows-Systeme im Falle einer aktiven Bitlocker-Verschlüsselung zu Problemen führen kann. Einige Nutzer betroffener Systeme werden nach Angaben des Konzerns nach der Installation des Updates dazu aufgefordert, ihren Bitlocker-Recovery-Key einzugeben. Andernfalls lässt sich das Betriebssystem nicht starten.

Link: www.golem.de

na?
wer hat den zettel mit allen bitlocker-keys schon geshreddert?

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16773

25.07.2024 - 15:57

Zitat aus einem Post von COLOSSUS
Wenn das deserialisierte Ding, das ueber kurz oder lang zur Ausfuerhung kommt, nicht dem vom urspr. Einpacker/Serialisierer Erwarteten entspricht, dann folgt daraus, dass es enwteder gar kein effektives Integritaetsprotokoll zwischen Ein- und Auspacker gibt, oder mindestens einer der beiden dieses falsch implementiert (z. B. via einem Bug aus der TOCTOU-Ecke).

Es gibt ja nur eine endliche Menge an Szenarien, wie es zu dem Problem hat kommen koennen:

1.) Das kaputte Update wurde genau so released, wie es am anderen Ende bei den Clients angekommen ist. Das spricht dafuer, dass es wohl quasi keine Testinfrastruktur gibt.
2.) Das kaputte Update wurde am Client anders empfangen, als es beim Urheber "gemeint" war. Das spricht dafuer, dass der wichtigste Inhalt des Updates...
2a.) beim Einpacken (aber vor einem allfaelligen Signieren), oder...
2b.) beim Auspacken (aber nach dem allfaelligen Validieren) ...
durch irgendeinen Umstand abgeaendert wurde, und der Client das dann geladen hat und ungespitzt in den Boden eingefahren ist. Eine alternative Erklaerung dafuer ist, dass...
2c.) es ueberhaupt gar keine Art von Signatur gibt, die zwischen Urheber und Client geprueft werden koennte, um Authentizitaet und Integritaet sicherzustellen.

Keiner der praesentierten Erklaerungsansaetze wuerde mich CrowdStrike einsetzen lassen wollen.

Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.
https://www.crowdstrike.com/blog/te...ain-null-bytes/

clauskadrnoschka

still oc.at-addicted

Registered: Mar 2001
Location: Austria, Waldvie..
Posts: 1589

25.07.2024 - 16:08

Zitat aus einem Post von Smut
Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.

Heißt das, dass Windows Schuld an den Null-Bytes ist?

Edit: Frage nachdem ich den Artikel gelesen habe...

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14487

25.07.2024 - 16:11

Zitat aus einem Post von Smut
Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.
https://www.crowdstrike.com/blog/te...ain-null-bytes/

"unser file war eh komplett gucci, es hatte nur 0 byte on disk weil unser update trotzdem während des schreibens deine hütte geschrottet hat. sorry! aber das file selbst war super ok!"

ok, d.h. ev verwenden sie signaturen / checksumming / ... das update war halt trotzdem schrott und hat den sensor incl OS während des update-ladens noch in den BSOD genuked.

@clauskadrnoschka: quasi, it's a feature, not a bug. "das is halt die art und weise wie windows files schreibt, wenn du ihm während des schreibens den strom ziehst"

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49561

25.07.2024 - 18:56

Fefes Blog

CrowdStrike will be liable for damages in France, based on the OVH precedent

Link: blog.fefe.de

Wird spannend wieviel da raus kommt und ob andere Länder ähnliche Gesetzeslagen haben

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16773

25.07.2024 - 20:45

Zuerst mal ob etwas rauskommt.

“ Now a common questions is whether CrowdStrike will be liable for damages? The answer is most certainly yes. ”

watercool

BYOB

Registered: Jan 2003
Location: -
Posts: 5921

25.07.2024 - 20:54

Das klingt nach einem der sich wichtig machen will. Was der OVH Brand mit crowdstrike is ja schwer an den Haaren herbei gezogen.

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14487

25.07.2024 - 22:16

ja nein jein. wird halt am ende des tages damit zamhängen, wie das update passiern konnte und obs "dem stand der technik" entsprach.

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19690

26.07.2024 - 07:33

Ich hab den ex-MS-dev weiter oben ja schonmal textlich verlinkt.

Hier ein Video zum Thema, technische Erklärung in den letzten 5 min.

Es gibt jetzt auch ein Nachbetrachtungs-Video das mMn auch generell schön einordnet =>

liltan0x

Bloody Newbie

Registered: Jul 2024
Location: void
Posts: 30

31.07.2024 - 09:44

Ich habe letztens mit jemanden aus einer Bude gesprochen wo Crowdstrike alles lahmgelegt hat bei dem Incident.

Es wurde gelobt seitens der Krawatten, dass Crowdstrike ja vor so viel Bedrohungen geschützt hat "nachweislich" weils soooo viel gefunden hat. Der Ausfall - wo im ganzen Konzern die Prod stillstand - ist kein Grund, das Schlangenöl nun nicht mehr einzusetzen.

Sie sind übrigends auch in der MS Cloud heftigs vertreten mit ihren internen Daten

Denen kannst allen nicht mehr helfen.

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14487

31.07.2024 - 09:50

wieso gibts eigentlich no immer keinen CI write-up, wie ma das update so versenken konnt?

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10758

31.07.2024 - 09:55

ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14487

31.07.2024 - 10:09

was genau? die "angriffe" oder dass crowdstrike seine prod nuked?

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10758

31.07.2024 - 10:13

beides.

sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10758	25.07.2024 - 11:48 Zitat aus einem Post von Vinci https://orf.at/stories/3364643/ Puh Gott sei Dank! Alles wieder gut! sowas kannst wirklich nicht erfinden.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5152	25.07.2024 - 11:50 Windows-Update erfordert Eingabe des Bitlocker-Keys Das jüngste Sicherheitsupdate für Windows 10, 11 und gängige Windows-Server-Versionen führt dazu, dass einige Systeme ohne Bitlocker-Key nicht mehr starten. Microsoft hat bestätigt, dass das jüngste Sicherheitsupdate für Windows-Systeme im Falle einer aktiven Bitlocker-Verschlüsselung zu Problemen führen kann. Einige Nutzer betroffener Systeme werden nach Angaben des Konzerns nach der Installation des Updates dazu aufgefordert, ihren Bitlocker-Recovery-Key einzugeben. Andernfalls lässt sich das Betriebssystem nicht starten. Link: www.golem.de na? wer hat den zettel mit allen bitlocker-keys schon geshreddert?
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16773	25.07.2024 - 15:57 Zitat aus einem Post von COLOSSUS Wenn das deserialisierte Ding, das ueber kurz oder lang zur Ausfuerhung kommt, nicht dem vom urspr. Einpacker/Serialisierer Erwarteten entspricht, dann folgt daraus, dass es enwteder gar kein effektives Integritaetsprotokoll zwischen Ein- und Auspacker gibt, oder mindestens einer der beiden dieses falsch implementiert (z. B. via einem Bug aus der TOCTOU-Ecke). Es gibt ja nur eine endliche Menge an Szenarien, wie es zu dem Problem hat kommen koennen: 1.) Das kaputte Update wurde genau so released, wie es am anderen Ende bei den Clients angekommen ist. Das spricht dafuer, dass es wohl quasi keine Testinfrastruktur gibt. 2.) Das kaputte Update wurde am Client anders empfangen, als es beim Urheber "gemeint" war. Das spricht dafuer, dass der wichtigste Inhalt des Updates... 2a.) beim Einpacken (aber vor einem allfaelligen Signieren), oder... 2b.) beim Auspacken (aber nach dem allfaelligen Validieren) ... durch irgendeinen Umstand abgeaendert wurde, und der Client das dann geladen hat und ungespitzt in den Boden eingefahren ist. Eine alternative Erklaerung dafuer ist, dass... 2c.) es ueberhaupt gar keine Art von Signatur gibt, die zwischen Urheber und Client geprueft werden koennte, um Authentizitaet und Integritaet sicherzustellen. Keiner der praesentierten Erklaerungsansaetze wuerde mich CrowdStrike einsetzen lassen wollen. Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. https://www.crowdstrike.com/blog/te...ain-null-bytes/
clauskadrnoschka still oc.at-addicted Registered: Mar 2001 Location: Austria, Waldvie.. Posts: 1589	25.07.2024 - 16:08 Zitat aus einem Post von Smut Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. Heißt das, dass Windows Schuld an den Null-Bytes ist? Edit: Frage nachdem ich den Artikel gelesen habe...
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14487	25.07.2024 - 16:11 Zitat aus einem Post von Smut Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. https://www.crowdstrike.com/blog/te...ain-null-bytes/ "unser file war eh komplett gucci, es hatte nur 0 byte on disk weil unser update trotzdem während des schreibens deine hütte geschrottet hat. sorry! aber das file selbst war super ok!" ok, d.h. ev verwenden sie signaturen / checksumming / ... das update war halt trotzdem schrott und hat den sensor incl OS während des update-ladens noch in den BSOD genuked. @clauskadrnoschka: quasi, it's a feature, not a bug. "das is halt die art und weise wie windows files schreibt, wenn du ihm während des schreibens den strom ziehst"
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49561	25.07.2024 - 18:56 Fefes Blog CrowdStrike will be liable for damages in France, based on the OVH precedent Link: blog.fefe.de Wird spannend wieviel da raus kommt und ob andere Länder ähnliche Gesetzeslagen haben
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16773	25.07.2024 - 20:45 Zuerst mal ob etwas rauskommt. “ Now a common questions is whether CrowdStrike will be liable for damages? The answer is most certainly yes. ”
watercool BYOB Registered: Jan 2003 Location: - Posts: 5921	25.07.2024 - 20:54 Das klingt nach einem der sich wichtig machen will. Was der OVH Brand mit crowdstrike is ja schwer an den Haaren herbei gezogen.
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14487	25.07.2024 - 22:16 ja nein jein. wird halt am ende des tages damit zamhängen, wie das update passiern konnte und obs "dem stand der technik" entsprach.
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19690	26.07.2024 - 07:33 Ich hab den ex-MS-dev weiter oben ja schonmal textlich verlinkt. Hier ein Video zum Thema, technische Erklärung in den letzten 5 min. Es gibt jetzt auch ein Nachbetrachtungs-Video das mMn auch generell schön einordnet =>
liltan0x Bloody Newbie Registered: Jul 2024 Location: void Posts: 30	31.07.2024 - 09:44 Ich habe letztens mit jemanden aus einer Bude gesprochen wo Crowdstrike alles lahmgelegt hat bei dem Incident. Es wurde gelobt seitens der Krawatten, dass Crowdstrike ja vor so viel Bedrohungen geschützt hat "nachweislich" weils soooo viel gefunden hat. Der Ausfall - wo im ganzen Konzern die Prod stillstand - ist kein Grund, das Schlangenöl nun nicht mehr einzusetzen. Sie sind übrigends auch in der MS Cloud heftigs vertreten mit ihren internen Daten Denen kannst allen nicht mehr helfen.
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14487	31.07.2024 - 09:50 wieso gibts eigentlich no immer keinen CI write-up, wie ma das update so versenken konnt?
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10758	31.07.2024 - 09:55 ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14487	31.07.2024 - 10:09 was genau? die "angriffe" oder dass crowdstrike seine prod nuked?
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10758	31.07.2024 - 10:13 beides.

CrowdStrike-Update legt weltweit Windows-Systeme lahm

Forum Index > Software > Windows

sk/\r

smashIt

Smut

clauskadrnoschka

semteX

Viper780

Smut

watercool

semteX

HaBa

liltan0x

semteX

sk/\r

semteX

sk/\r