{"id":297909,"date":"2024-07-30T00:03:00","date_gmt":"2024-07-29T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297909"},"modified":"2024-08-07T07:23:56","modified_gmt":"2024-08-07T05:23:56","slug":"microsofts-analyse-des-crowdstrike-vorfalls-und-empfehlungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/30\/microsofts-analyse-des-crowdstrike-vorfalls-und-empfehlungen\/","title":{"rendered":"Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat die Tage eine Analyse des CrowdStrike-Vorfalls ver\u00f6ffentlicht, in der die Aussagen von Crowdstrike best\u00e4tigt werden. Und es gibt Empfehlungen, wie Drittanbieter von Sicherheitssoftware arbeiten soll. Die Verwendung von Kernel-Treibern, wie bei CrowdStrike geschehen, wird nicht empfohlen. Zudem hei\u00dft es, dass Microsoft die \"Sicherheit von Windows\" verbessern m\u00f6chte.<\/p>\n

<\/p>\n

Microsofts CrowdStrike-Analyse<\/h2>\n

\"\"Am 19. Juli 2024 kam es auf Grund eines fehlerhaften Signatur-Updates bei der CrowdStrike Falcon-Sicherheitssoftware zum Ausfall von 8,5 Millionen Windows-Systemen. Die verharrten meist in einer BlueScreen-Schleife und lie\u00dfen sich u.U. nicht mehr booten. Betroffen waren Unternehmensrechner, da die oben genannte CrowdStrike Falcon-Software bei Privatleuten nicht im Einsatz ist.<\/p>\n

In Folge standen Flugh\u00e4fen still, Z\u00fcge, Rundfunksender, Tankstellen, L\u00e4den und Banken waren betroffen. F\u00fcr Administratoren der betroffenen Unternehmen hie\u00df es: Versucht, die Windows-Rechner bis zu 15 Mal zu booten und zu hoffen, dass das fehlerhafte Update per Internet durch eine funktionsf\u00e4hige Version ersetzt wird. Oder die Rechner vor Ort manuell vom fehlerhaften Update befreien und wieder arbeitsf\u00e4hig machen. Ich hatte hier im Blog zeitnah \u2013 auch \u00fcber die Probleme mit Bitlocker Wiederherstellungsschl\u00fcssel-Abfragen berichtet (siehe Artikellinks am Beitragsende).<\/p>\n

Im Beitrag Windows Security best practices for integrating and managing security tools<\/a> greift Microsoft diesen Vorfall auf. Darin wird die Analyse von CrowdStrike (siehe CrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a>) weitgehend best\u00e4tigt.<\/p>\n

Kernel-Architekur und deren Absicherung<\/h2>\n

Viele Sicherheitsanbieter wie CrowdStrike und Microsoft nutzen eine Kernel-Treiber-Architektur, wof\u00fcr es mehrere Gr\u00fcnde gibt. Kernel-Treiber erm\u00f6glichen eine systemweite Sichtbarkeit und die F\u00e4higkeit, beim fr\u00fchen Booten zu laden, um Bedrohungen wie Boot-Kits und Root-Kits zu erkennen, die vor den Anwendungen im Benutzermodus geladen werden k\u00f6nnen. Dar\u00fcber hinaus bietet Microsoft eine Vielzahl von Funktionen wie Systemereignis-Callbacks f\u00fcr die Prozess- und Thread-Erstellung und Filtertreiber, die auf Ereignisse wie die Erstellung, L\u00f6schung oder \u00c4nderung von Dateien achten k\u00f6nnen. Kernel-Aktivit\u00e4ten k\u00f6nnen auch R\u00fcckrufe f\u00fcr Treiber ausl\u00f6sen, um zu entscheiden, wann Aktivit\u00e4ten wie die Erstellung von Dateien oder Prozessen blockiert werden sollen. Viele Hersteller verwenden auch Treiber, um eine Vielzahl von Netzwerkinformationen im Kernel zu sammeln, indem sie die NDIS-Treiberklasse verwenden.<\/p>\n

Microsoft arbeitet mit Drittanbietern von Sicherheitsprodukten \u00fcber ein Industrieforum namens Microsoft Virus Initiative (MVI) zusammen, um die Kompatibilit\u00e4t mit Windows-Updates zu gew\u00e4hrleisten, die Leistung zu verbessern und Zuverl\u00e4ssigkeitsprobleme zu l\u00f6sen. Dar\u00fcber hinaus m\u00fcssen alle Treiber, die von den Microsoft Windows Hardware Quality Labs (WHQL) signiert werden, eine Reihe von Tests durchlaufen und sich einer Reihe von Qualit\u00e4tspr\u00fcfungen unterziehen, u. a. der Verwendung von Fuzzern, der Durchf\u00fchrung statischer Code-Analysen und der \u00dcberpr\u00fcfung von Laufzeittreibern.<\/p>\n

Alle WHQL-signierten Treiber durchlaufen die Aufnahmepr\u00fcfungen und Malware-Scans von Microsoft und m\u00fcssen diese bestehen, bevor sie zur Signierung freigegeben werden. Entscheidet sich ein Drittanbieter f\u00fcr die Verteilung seines Treibers \u00fcber Windows Update (WU), durchl\u00e4uft der Treiber au\u00dferdem Microsofts Flighting- und schrittweise Rollout-Prozesse, um die Qualit\u00e4t zu beobachten und sicherzustellen, dass der Treiber die notwendigen Qualit\u00e4tskriterien f\u00fcr eine breite Freigabe erf\u00fcllt.<\/p>\n

Empfehlungen f\u00fcr die Zukunft<\/h2>\n

In obigem Beitrag sowie im Techcommunity-Beitrag Windows resiliency: Best practices and the path forward<\/a> beschreibt Microsoft, was man alles an Sicherheitsma\u00dfnahmen in Windows implementiert hat und was man bei Drittanbieter-Treibern unternimmt, um die Sicherheit zu gew\u00e4hrleisten. Im Techcommunity-Beitrag hei\u00dft es aber auch:<\/p>\n

Dieser [ CrowdStrike]Vorfall zeigt deutlich, dass Windows Ver\u00e4nderungen und Innovationen im Bereich der End-to-End-Resilienz Priorit\u00e4t einr\u00e4umen muss. Diese Verbesserungen m\u00fcssen Hand in Hand mit laufenden Verbesserungen der Sicherheit gehen und in enger Zusammenarbeit mit unseren vielen Partnern erfolgen, denen die Sicherheit des Windows-\u00d6kosystems ebenfalls sehr am Herzen liegt.<\/p><\/blockquote>\n

Bleibt abzuwarten, was am Ende des Tages passiert. Mit jeder Windows-Version wird Microsoft ja nicht m\u00fcde, zu behaupten, dass es \"das sicherste Windows aller Zeiten\" sei. Insgesamt l\u00e4sst sich aber feststellen, dass es immer wieder dicke Klopper gab und gibt. Ich erinnere daran, dass der Secure Boot in vielen Systemen nutzlos ist, weil der Secure Boot im UEFI vieler Motherboards mit einer Testsignatur versehen wurde. Die Seite binarly hat hier<\/a> berichtet \u2013 einen deutschsprachigen Beitrag gibt es von Golem<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWeltweiter Ausfall von Microsoft 365 (19. Juli 2024)<\/a>
\nAusfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a>
\nWieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen<\/a>
\nCrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>
\nNachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a>
\nCrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat die Tage eine Analyse des CrowdStrike-Vorfalls ver\u00f6ffentlicht, in der die Aussagen von Crowdstrike best\u00e4tigt werden. Und es gibt Empfehlungen, wie Drittanbieter von Sicherheitssoftware arbeiten soll. Die Verwendung von Kernel-Treibern, wie bei CrowdStrike geschehen, wird nicht empfohlen. Zudem hei\u00dft … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-297909","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297909"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297909\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}