CrowdStrike-Update legt weltweit Windows-Systeme lahm

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 11332

25.07.2024 - 11:48

Zitat aus einem Post von Vinci
https://orf.at/stories/3364643/

Puh Gott sei Dank! Alles wieder gut!

sowas kannst wirklich nicht erfinden.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5413

25.07.2024 - 11:50

Windows-Update erfordert Eingabe des Bitlocker-Keys

Das jüngste Sicherheitsupdate für Windows 10, 11 und gängige Windows-Server-Versionen führt dazu, dass einige Systeme ohne Bitlocker-Key nicht mehr starten.

Microsoft hat bestätigt, dass das jüngste Sicherheitsupdate für Windows-Systeme im Falle einer aktiven Bitlocker-Verschlüsselung zu Problemen führen kann. Einige Nutzer betroffener Systeme werden nach Angaben des Konzerns nach der Installation des Updates dazu aufgefordert, ihren Bitlocker-Recovery-Key einzugeben. Andernfalls lässt sich das Betriebssystem nicht starten.

Link: www.golem.de

na?
wer hat den zettel mit allen bitlocker-keys schon geshreddert?

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

25.07.2024 - 15:57

Zitat aus einem Post von COLOSSUS
Wenn das deserialisierte Ding, das ueber kurz oder lang zur Ausfuerhung kommt, nicht dem vom urspr. Einpacker/Serialisierer Erwarteten entspricht, dann folgt daraus, dass es enwteder gar kein effektives Integritaetsprotokoll zwischen Ein- und Auspacker gibt, oder mindestens einer der beiden dieses falsch implementiert (z. B. via einem Bug aus der TOCTOU-Ecke).

Es gibt ja nur eine endliche Menge an Szenarien, wie es zu dem Problem hat kommen koennen:

1.) Das kaputte Update wurde genau so released, wie es am anderen Ende bei den Clients angekommen ist. Das spricht dafuer, dass es wohl quasi keine Testinfrastruktur gibt.
2.) Das kaputte Update wurde am Client anders empfangen, als es beim Urheber "gemeint" war. Das spricht dafuer, dass der wichtigste Inhalt des Updates...
2a.) beim Einpacken (aber vor einem allfaelligen Signieren), oder...
2b.) beim Auspacken (aber nach dem allfaelligen Validieren) ...
durch irgendeinen Umstand abgeaendert wurde, und der Client das dann geladen hat und ungespitzt in den Boden eingefahren ist. Eine alternative Erklaerung dafuer ist, dass...
2c.) es ueberhaupt gar keine Art von Signatur gibt, die zwischen Urheber und Client geprueft werden koennte, um Authentizitaet und Integritaet sicherzustellen.

Keiner der praesentierten Erklaerungsansaetze wuerde mich CrowdStrike einsetzen lassen wollen.

Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.
https://www.crowdstrike.com/blog/te...ain-null-bytes/

clauskadrnoschka

still oc.at-addicted

Registered: Mar 2001
Location: Austria, Waldvie..
Posts: 1741

25.07.2024 - 16:08

Zitat aus einem Post von Smut
Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.

Heißt das, dass Windows Schuld an den Null-Bytes ist?

Edit: Frage nachdem ich den Artikel gelesen habe...

semteX

hasst die KI

Registered: Oct 2002
Location: Pre
Posts: 14972

25.07.2024 - 16:11

Zitat aus einem Post von Smut
Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da.
https://www.crowdstrike.com/blog/te...ain-null-bytes/

"unser file war eh komplett gucci, es hatte nur 0 byte on disk weil unser update trotzdem während des schreibens deine hütte geschrottet hat. sorry! aber das file selbst war super ok!"

ok, d.h. ev verwenden sie signaturen / checksumming / ... das update war halt trotzdem schrott und hat den sensor incl OS während des update-ladens noch in den BSOD genuked.

@clauskadrnoschka: quasi, it's a feature, not a bug. "das is halt die art und weise wie windows files schreibt, wenn du ihm während des schreibens den strom ziehst"

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 51905

25.07.2024 - 18:56

Fefes Blog

CrowdStrike will be liable for damages in France, based on the OVH precedent

Link: blog.fefe.de

Wird spannend wieviel da raus kommt und ob andere Länder ähnliche Gesetzeslagen haben

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

25.07.2024 - 20:45

Zuerst mal ob etwas rauskommt.

“ Now a common questions is whether CrowdStrike will be liable for damages? The answer is most certainly yes. ”

watercool

Vereinsmitglied
BYOB

Registered: Jan 2003
Location: -
Posts: 5994

25.07.2024 - 20:54

Das klingt nach einem der sich wichtig machen will. Was der OVH Brand mit crowdstrike is ja schwer an den Haaren herbei gezogen.

semteX

hasst die KI

Registered: Oct 2002
Location: Pre
Posts: 14972

25.07.2024 - 22:16

ja nein jein. wird halt am ende des tages damit zamhängen, wie das update passiern konnte und obs "dem stand der technik" entsprach.

HaBa

Klassenfeind

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19863

26.07.2024 - 07:33

Ich hab den ex-MS-dev weiter oben ja schonmal textlich verlinkt.

Hier ein Video zum Thema, technische Erklärung in den letzten 5 min.

Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google.

Es gibt jetzt auch ein Nachbetrachtungs-Video das mMn auch generell schön einordnet =>

Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google.

liltan0x

Big d00d

Registered: Jul 2024
Location: void
Posts: 159

31.07.2024 - 09:44

Ich habe letztens mit jemanden aus einer Bude gesprochen wo Crowdstrike alles lahmgelegt hat bei dem Incident.

Es wurde gelobt seitens der Krawatten, dass Crowdstrike ja vor so viel Bedrohungen geschützt hat "nachweislich" weils soooo viel gefunden hat. Der Ausfall - wo im ganzen Konzern die Prod stillstand - ist kein Grund, das Schlangenöl nun nicht mehr einzusetzen.

Sie sind übrigends auch in der MS Cloud heftigs vertreten mit ihren internen Daten

Denen kannst allen nicht mehr helfen.

semteX

hasst die KI

Registered: Oct 2002
Location: Pre
Posts: 14972

31.07.2024 - 09:50

wieso gibts eigentlich no immer keinen CI write-up, wie ma das update so versenken konnt?

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 11332

31.07.2024 - 09:55

ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?

semteX

hasst die KI

Registered: Oct 2002
Location: Pre
Posts: 14972

31.07.2024 - 10:09

was genau? die "angriffe" oder dass crowdstrike seine prod nuked?

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 11332

31.07.2024 - 10:13

beides.

sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 11332	25.07.2024 - 11:48 Zitat aus einem Post von Vinci https://orf.at/stories/3364643/ Puh Gott sei Dank! Alles wieder gut! sowas kannst wirklich nicht erfinden.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5413	25.07.2024 - 11:50 Windows-Update erfordert Eingabe des Bitlocker-Keys Das jüngste Sicherheitsupdate für Windows 10, 11 und gängige Windows-Server-Versionen führt dazu, dass einige Systeme ohne Bitlocker-Key nicht mehr starten. Microsoft hat bestätigt, dass das jüngste Sicherheitsupdate für Windows-Systeme im Falle einer aktiven Bitlocker-Verschlüsselung zu Problemen führen kann. Einige Nutzer betroffener Systeme werden nach Angaben des Konzerns nach der Installation des Updates dazu aufgefordert, ihren Bitlocker-Recovery-Key einzugeben. Andernfalls lässt sich das Betriebssystem nicht starten. Link: www.golem.de na? wer hat den zettel mit allen bitlocker-keys schon geshreddert?
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	25.07.2024 - 15:57 Zitat aus einem Post von COLOSSUS Wenn das deserialisierte Ding, das ueber kurz oder lang zur Ausfuerhung kommt, nicht dem vom urspr. Einpacker/Serialisierer Erwarteten entspricht, dann folgt daraus, dass es enwteder gar kein effektives Integritaetsprotokoll zwischen Ein- und Auspacker gibt, oder mindestens einer der beiden dieses falsch implementiert (z. B. via einem Bug aus der TOCTOU-Ecke). Es gibt ja nur eine endliche Menge an Szenarien, wie es zu dem Problem hat kommen koennen: 1.) Das kaputte Update wurde genau so released, wie es am anderen Ende bei den Clients angekommen ist. Das spricht dafuer, dass es wohl quasi keine Testinfrastruktur gibt. 2.) Das kaputte Update wurde am Client anders empfangen, als es beim Urheber "gemeint" war. Das spricht dafuer, dass der wichtigste Inhalt des Updates... 2a.) beim Einpacken (aber vor einem allfaelligen Signieren), oder... 2b.) beim Auspacken (aber nach dem allfaelligen Validieren) ... durch irgendeinen Umstand abgeaendert wurde, und der Client das dann geladen hat und ungespitzt in den Boden eingefahren ist. Eine alternative Erklaerung dafuer ist, dass... 2c.) es ueberhaupt gar keine Art von Signatur gibt, die zwischen Urheber und Client geprueft werden koennte, um Authentizitaet und Integritaet sicherzustellen. Keiner der praesentierten Erklaerungsansaetze wuerde mich CrowdStrike einsetzen lassen wollen. Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. https://www.crowdstrike.com/blog/te...ain-null-bytes/
clauskadrnoschka still oc.at-addicted Registered: Mar 2001 Location: Austria, Waldvie.. Posts: 1741	25.07.2024 - 16:08 Zitat aus einem Post von Smut Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. Heißt das, dass Windows Schuld an den Null-Bytes ist? Edit: Frage nachdem ich den Artikel gelesen habe...
semteX hasst die KI Registered: Oct 2002 Location: Pre Posts: 14972	25.07.2024 - 16:11 Zitat aus einem Post von Smut Noch nicht gelesen. Aber offizielle Aussage zu den null Bytes ist da. https://www.crowdstrike.com/blog/te...ain-null-bytes/ "unser file war eh komplett gucci, es hatte nur 0 byte on disk weil unser update trotzdem während des schreibens deine hütte geschrottet hat. sorry! aber das file selbst war super ok!" ok, d.h. ev verwenden sie signaturen / checksumming / ... das update war halt trotzdem schrott und hat den sensor incl OS während des update-ladens noch in den BSOD genuked. @clauskadrnoschka: quasi, it's a feature, not a bug. "das is halt die art und weise wie windows files schreibt, wenn du ihm während des schreibens den strom ziehst"
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 51905	25.07.2024 - 18:56 Fefes Blog CrowdStrike will be liable for damages in France, based on the OVH precedent Link: blog.fefe.de Wird spannend wieviel da raus kommt und ob andere Länder ähnliche Gesetzeslagen haben
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	25.07.2024 - 20:45 Zuerst mal ob etwas rauskommt. “ Now a common questions is whether CrowdStrike will be liable for damages? The answer is most certainly yes. ”
watercool Vereinsmitglied BYOB Registered: Jan 2003 Location: - Posts: 5994	25.07.2024 - 20:54 Das klingt nach einem der sich wichtig machen will. Was der OVH Brand mit crowdstrike is ja schwer an den Haaren herbei gezogen.
semteX hasst die KI Registered: Oct 2002 Location: Pre Posts: 14972	25.07.2024 - 22:16 ja nein jein. wird halt am ende des tages damit zamhängen, wie das update passiern konnte und obs "dem stand der technik" entsprach.
HaBa Klassenfeind Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19863	26.07.2024 - 07:33 Ich hab den ex-MS-dev weiter oben ja schonmal textlich verlinkt. Hier ein Video zum Thema, technische Erklärung in den letzten 5 min. Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google. Es gibt jetzt auch ein Nachbetrachtungs-Video das mMn auch generell schön einordnet => Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google.
liltan0x Big d00d Registered: Jul 2024 Location: void Posts: 159	31.07.2024 - 09:44 Ich habe letztens mit jemanden aus einer Bude gesprochen wo Crowdstrike alles lahmgelegt hat bei dem Incident. Es wurde gelobt seitens der Krawatten, dass Crowdstrike ja vor so viel Bedrohungen geschützt hat "nachweislich" weils soooo viel gefunden hat. Der Ausfall - wo im ganzen Konzern die Prod stillstand - ist kein Grund, das Schlangenöl nun nicht mehr einzusetzen. Sie sind übrigends auch in der MS Cloud heftigs vertreten mit ihren internen Daten Denen kannst allen nicht mehr helfen.
semteX hasst die KI Registered: Oct 2002 Location: Pre Posts: 14972	31.07.2024 - 09:50 wieso gibts eigentlich no immer keinen CI write-up, wie ma das update so versenken konnt?
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 11332	31.07.2024 - 09:55 ich bin da absolut nicht fit drin, deshalb die vermutlich blöde frage: wär sowas mit einem linux basierten OS nicht passiert? oder gäbs da halt "einfach andere" angriffspunkte?
semteX hasst die KI Registered: Oct 2002 Location: Pre Posts: 14972	31.07.2024 - 10:09 was genau? die "angriffe" oder dass crowdstrike seine prod nuked?
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 11332	31.07.2024 - 10:13 beides.

CrowdStrike-Update legt weltweit Windows-Systeme lahm

Forum Index > Software > Windows

sk/\r

smashIt

Smut

clauskadrnoschka

semteX

Viper780

Smut

watercool

semteX

HaBa

liltan0x

semteX

sk/\r

semteX

sk/\r