[English]Durch ein fehlerhaftes Update der CrowdStrike Falcon-Software wurden zum 19. Juli 2024 um die 8,5 Millionen Windows-Rechner lahm. Der Vorfall gilt bereits als die bisher weltweit der größte Computerpanne, und dürfte Milliarden Schaden verursachte haben. Seit Freitag kämpfen Administratoren damit, die ausgefallenen Systeme zu reparieren und es laufen “Aufräumarbeiten”. Ein Blog-Leser hat mich bereits zum Wochenende kontaktiert, weil ihm als Administrator einige Nebenwirkungen aufgefallen sind, die bisher öffentlich so noch nicht angesprochen wurden. Auch nach der Reparatur des BlueScreen-Verhaltens sind ggf. Falcon Sensor-Agenten nicht mehr arbeitsfähig.  Ich stelle mal einige Informationen im Blog-Beitrag zusammen.

Der CrowdStrike-Vorfall

Am 19. Juli 2024 kam es weltweit zu zahlreichen Störungen an IT-Systemen mit Windows. Der Betrieb an Flughäfen stand, Banken konnten nicht mehr arbeiten, Züge fielen aus, und Firmen schickten ihre Mitarbeiter nach Hause (z.B. Tegut), weil die IT-Systeme nicht mehr gingen. Auch deutsche Kommunen, Firmen und Banken waren betroffen. Ich hatte zeitnah im Beitrag Ausfall von Microsoft 365 und weltweite Störungen – wegen CrowdStrike-Update, was zum BSOD führt? berichtet.

Es war aber kein Cyberangriff, sondern ein fehlerhaftes Update für eine EDR-Sicherheitslösung des US-Anbieters CrowdStrike, die Windows-Systeme mit einem BlueScreen abstürzen ließen. Eine erste Analyse, was passiert sein könnte, findet sich in meinem Blog-Beitrag CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen führte.

In diesem Tweet zitiert jemand, dass das fehlerhafte Update neu beobachtete, bösartige “named pipes”, die von gängigen C2-Frameworks bei Cyberangriffen verwendet werden, ins Visier nehmen sollte. Ich hatte hier im Blog zeitnah berichtet und den Vorfall in diversen Beiträgen nachbearbeitet (siehe Links am Artikelende).

Neue CrowdStrike-Probleme/Nebenwirkungen?

Ein Blog-Leser hat mich per E-Mail kontaktiert, weil er als Administrator auch für CrowdStrike verantwortlich ist und von dem Vorfall betroffen war. Ihm sind im CrowdStrike-Fall neue Probleme bzw. Nebenwirkungen aufgefallen. Der Leser schrieb mir, dass das Unternehmen eine großen Teil seiner Landschaft wieder in Betrieb habe.

Als er sich aber in der CrowStrike-Console die Server des Unternehmens angesehen hat, musste er feststellen, dass sich ca. 10% der Server seit Freitag nicht mehr gemeldet haben (obwohl die Server selbst laufen). Falls das CrowdStrike-Icon in der CrowStrike-Console aktiviert wurde, zeigt das Icon diesen Fehler.

Die Konsole meldet, dass der Treiber gestoppt wurde, obwohl der Dienst läuft. Sprich: Die CrowdStrike Falcon Sensoren liefern keine Rückmeldungen an die Konsole.

Agent nicht mehr arbeitsfähig

Nach einem Upgrade der Version funktioniert es wieder aber was ist die Ursache? Der Leser hat dann geforscht und ist dem Problem auf die Spur gekommen. Der CrowdStrike-Support meldet folgendes.

File not found: %SYSTEMROOT%\system32\drivers\CrowdStrike\csagent.sys

it seems that CSAgent.sys has been renamed to CSAgent.sys.old:

CSAgent.sys.old               09.07.2024 14:50:46       7.15.18513.0  

The reason why an upgrade solved it, it is probably because that also triggered a repair and renamed CSAgent.sys.old to its original name.

Current suggestion is to check the the impacted Channel File has been removed from the System and then rename the CSAgent.sys.old back to its original name CSAgent.sys and reboot the host.

Bedeutet also, auch wenn der BlueScreen (BSOD) unter Windows auf Grund des fehlerhaften Updates repariert wurde, ist der Falcon Sensor-Agent ggf. nicht lauffähig. Betroffene Server lassen sich aber ganz gut in der CrowdStrike-Console über die Abfrage “last seen” filtern. Server sollten sich ja durch ihren Dauerbetrieb regelmäßig melden.

Schwierigkeit bei Clients

Der Leser schrieb noch, dass es bei Clients anders aussieht, da diese unregelmäßig online sind und sich daher nicht regelmäßig melden. Er stellte die Frage: “Wer will da jetzt noch herausfinden, welcher Client wurde repariert, und meldet sich aber nicht?” Das ist eher schwierig.

Sofern das oben erwähnte Icon aktiviert wurde, könnten die User selbst nachsehen, ob die Falcon-Software am Client arbeitet. In seiner Mail merkte der Leser noch an, dass er erst am gestrigen Montag mit der Client-Reparatur beginne und dort das als Prüfschritt mit einbauen will. Danke an den Leser für die Hinweise – noch jemand mit dieser Beobachtung?

Ähnliche Artikel:
Weltweiter Ausfall von Microsoft 365 (19. Juli 2024)
Ausfall von Microsoft 365 und weltweite Störungen – wegen CrowdStrike-Update, was zum BSOD führt?
Wieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen
CrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen führte
Nachlese des CrowdStrike-Vorfalls, der bisher größten Computerpanne aller Zeiten
CrowdStrike-Vorfall: Sensor-Ausfall als bisher unbekannte Nebenwirkung?