{"id":297689,"date":"2024-07-23T00:47:32","date_gmt":"2024-07-22T22:47:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297689"},"modified":"2024-07-28T00:28:05","modified_gmt":"2024-07-27T22:28:05","slug":"crowdstrike-vorfall-sensor-ausfall-als-bisher-unbekannte-nebenwirkung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/23\/crowdstrike-vorfall-sensor-ausfall-als-bisher-unbekannte-nebenwirkung\/","title":{"rendered":"CrowdStrike-Vorfall: Sensor-Ausfall als bisher unbekannte Nebenwirkung?"},"content":{"rendered":"

\"Stop[English<\/a>]Durch ein fehlerhaftes Update der CrowdStrike Falcon-Software wurden zum 19. Juli 2024 um die 8,5 Millionen Windows-Rechner lahm. Der Vorfall gilt bereits als die bisher weltweit der gr\u00f6\u00dfte Computerpanne, und d\u00fcrfte Milliarden Schaden verursachte haben. Seit Freitag k\u00e4mpfen Administratoren damit, die ausgefallenen Systeme zu reparieren und es laufen \"Aufr\u00e4umarbeiten\". Ein Blog-Leser hat mich bereits zum Wochenende kontaktiert, weil ihm als Administrator einige Nebenwirkungen aufgefallen sind, die bisher \u00f6ffentlich so noch nicht angesprochen wurden. Auch nach der Reparatur des BlueScreen-Verhaltens sind ggf. Falcon Sensor-Agenten nicht mehr arbeitsf\u00e4hig.\u00a0 Ich stelle mal einige Informationen im Blog-Beitrag zusammen.<\/p>\n

<\/p>\n

Der CrowdStrike-Vorfall<\/h2>\n

\"\"Am 19. Juli 2024 kam es weltweit zu zahlreichen St\u00f6rungen an IT-Systemen mit Windows. Der Betrieb an Flugh\u00e4fen stand, Banken konnten nicht mehr arbeiten, Z\u00fcge fielen aus, und Firmen schickten ihre Mitarbeiter nach Hause (z.B. Tegut), weil die IT-Systeme nicht mehr gingen. Auch deutsche Kommunen, Firmen und Banken waren betroffen. Ich hatte zeitnah im Beitrag Ausfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a> berichtet.<\/p>\n

Es war aber kein Cyberangriff, sondern ein fehlerhaftes Update f\u00fcr eine EDR-Sicherheitsl\u00f6sung des US-Anbieters CrowdStrike, die Windows-Systeme mit einem BlueScreen abst\u00fcrzen lie\u00dfen. Eine erste Analyse, was passiert sein k\u00f6nnte, findet sich in meinem Blog-Beitrag CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>.<\/p>\n

In diesem Tweet<\/a> zitiert jemand, dass das fehlerhafte Update neu beobachtete, b\u00f6sartige \"named pipes\", die von g\u00e4ngigen C2-Frameworks bei Cyberangriffen verwendet werden, ins Visier nehmen sollte. Ich hatte hier im Blog zeitnah berichtet und den Vorfall in diversen Beitr\u00e4gen nachbearbeitet (siehe Links am Artikelende).<\/p>\n

Neue CrowdStrike-Probleme\/Nebenwirkungen?<\/h2>\n

Ein Blog-Leser hat mich per E-Mail kontaktiert, weil er als Administrator auch f\u00fcr CrowdStrike verantwortlich ist und von dem Vorfall betroffen war. Ihm sind im CrowdStrike-Fall neue Probleme bzw. Nebenwirkungen aufgefallen. Der Leser schrieb mir, dass das Unternehmen eine gro\u00dfen Teil seiner Landschaft wieder in Betrieb habe.<\/p>\n

Als er sich aber in der CrowStrike-Console die Server des Unternehmens angesehen hat, musste er feststellen, dass sich ca. 10% der Server seit Freitag nicht mehr gemeldet haben (obwohl die Server selbst laufen). Falls das CrowdStrike-Icon in der CrowStrike-Console aktiviert wurde, zeigt das Icon diesen Fehler.<\/p>\n

\"CrowdStrike<\/p>\n

Die Konsole meldet, dass der Treiber gestoppt wurde, obwohl der Dienst l\u00e4uft. Sprich: Die CrowdStrike Falcon Sensoren liefern keine R\u00fcckmeldungen an die Konsole.<\/p>\n

Agent nicht mehr arbeitsf\u00e4hig<\/h3>\n

Nach einem Upgrade der Version funktioniert es wieder aber was ist die Ursache? Der Leser hat dann geforscht und ist dem Problem auf die Spur gekommen. Der CrowdStrike-Support meldet folgendes.<\/p>\n

 <\/p>\n

File not found: %SYSTEMROOT%\\system32\\drivers\\CrowdStrike\\csagent.sys<\/i><\/p>\n

 <\/p>\n

it seems that CSAgent.sys has been renamed to CSAgent.sys.old:<\/i><\/p>\n

 <\/p>\n

CSAgent.sys.old\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 09.07.2024 14:50:46\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 7.15.18513.0\u00a0\u00a0 <\/i><\/p>\n

 <\/p>\n

The reason why an upgrade solved it, it is probably because that also triggered a repair and renamed CSAgent.sys.old to its original name. <\/i><\/p>\n

Current suggestion is to check the the impacted Channel File has been removed from the System and then rename the CSAgent.sys.old back to its original name CSAgent.sys and reboot the host.<\/i><\/p><\/blockquote>\n

Bedeutet also, auch wenn der BlueScreen (BSOD) unter Windows auf Grund des fehlerhaften Updates repariert wurde, ist der Falcon Sensor-Agent ggf. nicht lauff\u00e4hig. Betroffene Server lassen sich aber ganz gut in der CrowdStrike-Console \u00fcber die Abfrage \"last seen\" filtern. Server sollten sich ja durch ihren Dauerbetrieb regelm\u00e4\u00dfig melden.<\/p>\n

Schwierigkeit bei Clients<\/h3>\n

Der Leser schrieb noch, dass es bei Clients anders aussieht, da diese unregelm\u00e4\u00dfig online sind und sich daher nicht regelm\u00e4\u00dfig melden. Er stellte die Frage: \"Wer will da jetzt noch herausfinden, welcher Client wurde repariert, und meldet sich aber nicht?\" Das ist eher schwierig.<\/p>\n

Sofern das oben erw\u00e4hnte Icon aktiviert wurde, k\u00f6nnten die User selbst nachsehen, ob die Falcon-Software am Client arbeitet. In seiner Mail merkte der Leser noch an, dass er erst am gestrigen Montag mit der Client-Reparatur beginne und dort das als Pr\u00fcfschritt mit einbauen will. Danke an den Leser f\u00fcr die Hinweise – noch jemand mit dieser Beobachtung?<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWeltweiter Ausfall von Microsoft 365 (19. Juli 2024)<\/a>
\nAusfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a>
\nWieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen<\/a>
\nCrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>
\nNachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a>
\nCrowdStrike-Vorfall: Sensor-Ausfall als bisher unbekannte Nebenwirkung?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Durch ein fehlerhaftes Update der CrowdStrike Falcon-Software wurden zum 19. Juli 2024 um die 8,5 Millionen Windows-Rechner lahm. Der Vorfall gilt bereits als die bisher weltweit der gr\u00f6\u00dfte Computerpanne, und d\u00fcrfte Milliarden Schaden verursachte haben. Seit Freitag k\u00e4mpfen Administratoren damit, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,301],"tags":[24,4328,3836,3288],"class_list":["post-297689","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows","tag-problem","tag-sicherheit","tag-software","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297689"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297689\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}