CrowdStrike-Update legt weltweit Windows-Systeme lahm

sichNix

Here to stay

Registered: Nov 2014
Location: 1230
Posts: 1061

31.07.2024 - 10:17

Es gab erst im iirc april eine Vorfall bei gewissen Debian versionen die dann halt medial nicht so behandelt wurden wie jetzt das windows problem. Solang das Produkt mit so hohen Rechten läuft ists egal ob windows oder Linux das OS ist.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16773

31.07.2024 - 10:25

Zitat aus einem Post von sk/\r
ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?

Gabs eh auch schon. Tw. Kannst halt leichter recovern bei einer linux kernel panic weil die Geräte eher im datacenter stehen und nicht Remote irgendwo mit Bit locker entstört werden müssen. Weiters ist linux bzw. Die eingesetzte kernel version auch stärker fragmentiert als Windows.

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14487

31.07.2024 - 10:30

jo, kernel modul welches im kernel space shice baut is in jedem OS a kernel panic. das is universal.

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10758

31.07.2024 - 10:33

ah ok. danke für die Erklärungen.

Vinci

hatin' on summer

Registered: Jan 2003
Location: Wien
Posts: 5799

31.07.2024 - 11:22

Wie rennt das unter Debian, haben die a Repo wo die dann a auf Yolo ausrollen?

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14487

31.07.2024 - 11:41

so was rennt ned über repos. das zeug installierst direkt als binary aus deiner SaaS app raus und danach rennt der auto updater komplett out of bounds.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4418

31.07.2024 - 12:02

Bei den atomic distris wählst im bootloader ein previous deployment und passt.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12034

31.07.2024 - 12:10

Ich wuerde mal annehmen, dass man auf einer "immutable"/"atomic" distro gar keine Moeglichkeit hat, sich CrowdStriken zu lassen. Es sei denn, du trittst dir die Gaude schon in deinem goldenen Image ein - aber dann faende ich das Nachladen von irgendwelchen "Threat Signatures" zur Laufzeit auch wieder einen originellen Bruch mit dem Konzept

Bei einer non-"immutable" Distro verhinderst du im Bootloader einfach das Laden des kmods. Der Punkt ist aber, dass man mit dem Bootloader-Prompt eigentlich nicht interagieren muessen will - schon gar nicht weitflaechig.

Vinci

hatin' on summer

Registered: Jan 2003
Location: Wien
Posts: 5799

31.07.2024 - 12:23

interessehalber...
Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft?

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11169

31.07.2024 - 12:32

Zitat aus einem Post von Vinci
interessehalber...
Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft?

kennt jemand einen größeren Autobauer oder Zulieferer ohne EDR auf sämtlichen Systemen?

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12034

31.07.2024 - 12:35

kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11169

31.07.2024 - 12:52

Zitat aus einem Post von COLOSSUS
kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?

Debian/Ubuntu ist da recht verbreitet. Das wildeste Bastelsetup mit Container/Node.js/wwi kriegt dann einfach Crowdstrike als Pflaster und beim Audit ist alles gut. Mittlerweile gibts ja auch diverse Partnerschaften damit der Kram auf "OT" Hardware (Roboter, LGV/AGV,...) läuft. Eh leiwand oder?

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49561

31.07.2024 - 13:18

Zitat aus einem Post von COLOSSUS
kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?

Ich kann nur von einem Konzern in der Branche in Niedersachsen sprechen. Da ist schon Debian im Einsatz. Aber eher als Ubuntu flavour.
Red Hat (und Derivate) ist erstaunlich selten im Einsatz

Durch (multi/hybrid) Cloud und Containern ist Alpine stark im Vormarsch.

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7338

11.08.2024 - 11:30

Post mortem von Crowdstrike

Fefe's Interpretation

imho ein recht schwaches post mortem

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 3829

11.08.2024 - 11:57

We accidentally used 21 Input fields, the Software can only handle 20 so it had a mem-page fault.

Lustig das es in der Sandbox aber gelaufen sein soll.

sichNix Here to stay Registered: Nov 2014 Location: 1230 Posts: 1061	31.07.2024 - 10:17 Es gab erst im iirc april eine Vorfall bei gewissen Debian versionen die dann halt medial nicht so behandelt wurden wie jetzt das windows problem. Solang das Produkt mit so hohen Rechten läuft ists egal ob windows oder Linux das OS ist.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16773	31.07.2024 - 10:25 Zitat aus einem Post von sk/\r ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte? Gabs eh auch schon. Tw. Kannst halt leichter recovern bei einer linux kernel panic weil die Geräte eher im datacenter stehen und nicht Remote irgendwo mit Bit locker entstört werden müssen. Weiters ist linux bzw. Die eingesetzte kernel version auch stärker fragmentiert als Windows.
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14487	31.07.2024 - 10:30 jo, kernel modul welches im kernel space shice baut is in jedem OS a kernel panic. das is universal.
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10758	31.07.2024 - 10:33 ah ok. danke für die Erklärungen.
Vinci hatin' on summer Registered: Jan 2003 Location: Wien Posts: 5799	31.07.2024 - 11:22 Wie rennt das unter Debian, haben die a Repo wo die dann a auf Yolo ausrollen?
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14487	31.07.2024 - 11:41 so was rennt ned über repos. das zeug installierst direkt als binary aus deiner SaaS app raus und danach rennt der auto updater komplett out of bounds.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4418	31.07.2024 - 12:02 Bei den atomic distris wählst im bootloader ein previous deployment und passt.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12034	31.07.2024 - 12:10 Ich wuerde mal annehmen, dass man auf einer "immutable"/"atomic" distro gar keine Moeglichkeit hat, sich CrowdStriken zu lassen. Es sei denn, du trittst dir die Gaude schon in deinem goldenen Image ein - aber dann faende ich das Nachladen von irgendwelchen "Threat Signatures" zur Laufzeit auch wieder einen originellen Bruch mit dem Konzept Bei einer non-"immutable" Distro verhinderst du im Bootloader einfach das Laden des kmods. Der Punkt ist aber, dass man mit dem Bootloader-Prompt eigentlich nicht interagieren muessen will - schon gar nicht weitflaechig.
Vinci hatin' on summer Registered: Jan 2003 Location: Wien Posts: 5799	31.07.2024 - 12:23 interessehalber... Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft?
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11169	31.07.2024 - 12:32 Zitat aus einem Post von Vinci interessehalber... Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft? kennt jemand einen größeren Autobauer oder Zulieferer ohne EDR auf sämtlichen Systemen?
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12034	31.07.2024 - 12:35 kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11169	31.07.2024 - 12:52 Zitat aus einem Post von COLOSSUS kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian? Debian/Ubuntu ist da recht verbreitet. Das wildeste Bastelsetup mit Container/Node.js/wwi kriegt dann einfach Crowdstrike als Pflaster und beim Audit ist alles gut. Mittlerweile gibts ja auch diverse Partnerschaften damit der Kram auf "OT" Hardware (Roboter, LGV/AGV,...) läuft. Eh leiwand oder?
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49561	31.07.2024 - 13:18 Zitat aus einem Post von COLOSSUS kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian? Ich kann nur von einem Konzern in der Branche in Niedersachsen sprechen. Da ist schon Debian im Einsatz. Aber eher als Ubuntu flavour. Red Hat (und Derivate) ist erstaunlich selten im Einsatz Durch (multi/hybrid) Cloud und Containern ist Alpine stark im Vormarsch.
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7338	11.08.2024 - 11:30 Post mortem von Crowdstrike Fefe's Interpretation imho ein recht schwaches post mortem
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 3829	11.08.2024 - 11:57 We accidentally used 21 Input fields, the Software can only handle 20 so it had a mem-page fault. Lustig das es in der Sandbox aber gelaufen sein soll.

CrowdStrike-Update legt weltweit Windows-Systeme lahm

Forum Index > Software > Windows

sichNix

Smut

semteX

sk/\r

Vinci

semteX

erlgrey

COLOSSUS

Vinci

spunz

COLOSSUS

spunz

Viper780

TOM

Roman