CrowdStrike-Update legt weltweit Windows-Systeme lahm

sichNix

Here to stay

Registered: Nov 2014
Location: 1230
Posts: 1087

31.07.2024 - 10:17

Es gab erst im iirc april eine Vorfall bei gewissen Debian versionen die dann halt medial nicht so behandelt wurden wie jetzt das windows problem. Solang das Produkt mit so hohen Rechten läuft ists egal ob windows oder Linux das OS ist.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

31.07.2024 - 10:25

Zitat aus einem Post von sk/\r
ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?

Gabs eh auch schon. Tw. Kannst halt leichter recovern bei einer linux kernel panic weil die Geräte eher im datacenter stehen und nicht Remote irgendwo mit Bit locker entstört werden müssen. Weiters ist linux bzw. Die eingesetzte kernel version auch stärker fragmentiert als Windows.

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14817

31.07.2024 - 10:30

jo, kernel modul welches im kernel space shice baut is in jedem OS a kernel panic. das is universal.

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 11142

31.07.2024 - 10:33

ah ok. danke für die Erklärungen.

Vinci

hatin' on summer

Registered: Jan 2003
Location: Wien
Posts: 5843

31.07.2024 - 11:22

Wie rennt das unter Debian, haben die a Repo wo die dann a auf Yolo ausrollen?

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14817

31.07.2024 - 11:41

so was rennt ned über repos. das zeug installierst direkt als binary aus deiner SaaS app raus und danach rennt der auto updater komplett out of bounds.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4475

31.07.2024 - 12:02

Bei den atomic distris wählst im bootloader ein previous deployment und passt.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12173

31.07.2024 - 12:10

Ich wuerde mal annehmen, dass man auf einer "immutable"/"atomic" distro gar keine Moeglichkeit hat, sich CrowdStriken zu lassen. Es sei denn, du trittst dir die Gaude schon in deinem goldenen Image ein - aber dann faende ich das Nachladen von irgendwelchen "Threat Signatures" zur Laufzeit auch wieder einen originellen Bruch mit dem Konzept

Bei einer non-"immutable" Distro verhinderst du im Bootloader einfach das Laden des kmods. Der Punkt ist aber, dass man mit dem Bootloader-Prompt eigentlich nicht interagieren muessen will - schon gar nicht weitflaechig.

Vinci

hatin' on summer

Registered: Jan 2003
Location: Wien
Posts: 5843

31.07.2024 - 12:23

interessehalber...
Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft?

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11325

31.07.2024 - 12:32

Zitat aus einem Post von Vinci
interessehalber...
Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft?

kennt jemand einen größeren Autobauer oder Zulieferer ohne EDR auf sämtlichen Systemen?

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12173

31.07.2024 - 12:35

kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11325

31.07.2024 - 12:52

Zitat aus einem Post von COLOSSUS
kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?

Debian/Ubuntu ist da recht verbreitet. Das wildeste Bastelsetup mit Container/Node.js/wwi kriegt dann einfach Crowdstrike als Pflaster und beim Audit ist alles gut. Mittlerweile gibts ja auch diverse Partnerschaften damit der Kram auf "OT" Hardware (Roboter, LGV/AGV,...) läuft. Eh leiwand oder?

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50770

31.07.2024 - 13:18

Zitat aus einem Post von COLOSSUS
kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?

Ich kann nur von einem Konzern in der Branche in Niedersachsen sprechen. Da ist schon Debian im Einsatz. Aber eher als Ubuntu flavour.
Red Hat (und Derivate) ist erstaunlich selten im Einsatz

Durch (multi/hybrid) Cloud und Containern ist Alpine stark im Vormarsch.

TOM

Vereinsmitglied
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7454

11.08.2024 - 11:30

Post mortem von Crowdstrike

Fefe's Interpretation

imho ein recht schwaches post mortem

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 3989

11.08.2024 - 11:57

We accidentally used 21 Input fields, the Software can only handle 20 so it had a mem-page fault.

Lustig das es in der Sandbox aber gelaufen sein soll.

sichNix Here to stay Registered: Nov 2014 Location: 1230 Posts: 1087	31.07.2024 - 10:17 Es gab erst im iirc april eine Vorfall bei gewissen Debian versionen die dann halt medial nicht so behandelt wurden wie jetzt das windows problem. Solang das Produkt mit so hohen Rechten läuft ists egal ob windows oder Linux das OS ist.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	31.07.2024 - 10:25 Zitat aus einem Post von sk/\r ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte? Gabs eh auch schon. Tw. Kannst halt leichter recovern bei einer linux kernel panic weil die Geräte eher im datacenter stehen und nicht Remote irgendwo mit Bit locker entstört werden müssen. Weiters ist linux bzw. Die eingesetzte kernel version auch stärker fragmentiert als Windows.
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14817	31.07.2024 - 10:30 jo, kernel modul welches im kernel space shice baut is in jedem OS a kernel panic. das is universal.
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 11142	31.07.2024 - 10:33 ah ok. danke für die Erklärungen.
Vinci hatin' on summer Registered: Jan 2003 Location: Wien Posts: 5843	31.07.2024 - 11:22 Wie rennt das unter Debian, haben die a Repo wo die dann a auf Yolo ausrollen?
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14817	31.07.2024 - 11:41 so was rennt ned über repos. das zeug installierst direkt als binary aus deiner SaaS app raus und danach rennt der auto updater komplett out of bounds.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4475	31.07.2024 - 12:02 Bei den atomic distris wählst im bootloader ein previous deployment und passt.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12173	31.07.2024 - 12:10 Ich wuerde mal annehmen, dass man auf einer "immutable"/"atomic" distro gar keine Moeglichkeit hat, sich CrowdStriken zu lassen. Es sei denn, du trittst dir die Gaude schon in deinem goldenen Image ein - aber dann faende ich das Nachladen von irgendwelchen "Threat Signatures" zur Laufzeit auch wieder einen originellen Bruch mit dem Konzept Bei einer non-"immutable" Distro verhinderst du im Bootloader einfach das Laden des kmods. Der Punkt ist aber, dass man mit dem Bootloader-Prompt eigentlich nicht interagieren muessen will - schon gar nicht weitflaechig.
Vinci hatin' on summer Registered: Jan 2003 Location: Wien Posts: 5843	31.07.2024 - 12:23 interessehalber... Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft?
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11325	31.07.2024 - 12:32 Zitat aus einem Post von Vinci interessehalber... Kennt irgendwer irgendwen... der irgendwen kennt bei dem CrowdStrike unter Debian läuft? kennt jemand einen größeren Autobauer oder Zulieferer ohne EDR auf sämtlichen Systemen?
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12173	31.07.2024 - 12:35 kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian?
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11325	31.07.2024 - 12:52 Zitat aus einem Post von COLOSSUS kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian? Debian/Ubuntu ist da recht verbreitet. Das wildeste Bastelsetup mit Container/Node.js/wwi kriegt dann einfach Crowdstrike als Pflaster und beim Audit ist alles gut. Mittlerweile gibts ja auch diverse Partnerschaften damit der Kram auf "OT" Hardware (Roboter, LGV/AGV,...) läuft. Eh leiwand oder?
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50770	31.07.2024 - 13:18 Zitat aus einem Post von COLOSSUS kA ob dieser Wirtschaftszweig technisch auch schon komplett an Sand sein muss aufgrund von irgendwelchen von Partnern/Kunden ausgedachten oder tatsaechlich gesetzlich verpflichtenden Luftikus-"Security"-Regulatorien - aber die haben vmtl. eher kein Debian? Ich kann nur von einem Konzern in der Branche in Niedersachsen sprechen. Da ist schon Debian im Einsatz. Aber eher als Ubuntu flavour. Red Hat (und Derivate) ist erstaunlich selten im Einsatz Durch (multi/hybrid) Cloud und Containern ist Alpine stark im Vormarsch.
TOM Vereinsmitglied Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7454	11.08.2024 - 11:30 Post mortem von Crowdstrike Fefe's Interpretation imho ein recht schwaches post mortem
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 3989	11.08.2024 - 11:57 We accidentally used 21 Input fields, the Software can only handle 20 so it had a mem-page fault. Lustig das es in der Sandbox aber gelaufen sein soll.

CrowdStrike-Update legt weltweit Windows-Systeme lahm

Forum Index > Software > Windows

sichNix

Smut

semteX

sk/\r

Vinci

semteX

erlgrey

COLOSSUS

Vinci

spunz

COLOSSUS

spunz

Viper780

TOM

Roman