MÜNCHEN (IT BOLTWISE) – Erfahren Sie die neuesten Details zum fatalen Update der CrowdStrike-Sicherheitssoftware Falcon, das weltweit IT-Ausfälle verursachte. BSI warnt vor erhöhten Phishing-Angriffen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Vergangenen Freitag hat ein plötzlicher Ausfall unzähliger Windows-Rechner zu einer weltweiten IT-Katastrophe geführt. Der Verursacher war die sehr verbreitete Sicherheitssoftware Falcon von CrowdStrike, die vor modernen Cyberangriffen schützen soll – und damit auch vor Ausfällen. Inzwischen hat der Hersteller einige weitere Details zu dem Vorfall preisgegeben.
Demnach hat CrowdStrike am vergangenen Freitag von 06:09 Uhr bis 07:27 Uhr deutscher Zeit ein fehlerhaftes Update ausgespielt. Betroffen waren Systeme, die in dieser Zeit online waren und so automatisch mit dem Update versorgt wurden. Bei der fatalen Aktualisierung handelt es sich um ein sogenanntes Channel File für die Komponente Falcon Sensor, die auf den zu schützenden Clients installiert werden muss.
Channel Files steuern Verhaltensschutzmechanismen der Software, ähnlich Signaturupdates bei Antivirensoftware. CrowdStrike erklärt, solche Dateien mehrmals täglich zu verteilen, um auf aktuelle Bedrohungen reagieren zu können. Das fatale Channel File 291 sollte neue Informationen über benannte Pipes (Named Pipes) mitbringen, die aktuell für Cyberangriffe mit Command-and-Control-Frameworks verwendet werden.
Auch wenn solche Channel-Dateien die Endung .sys tragen, handelt es sich laut CrowdStrike nicht um Kerneltreiber. Nummer 291 löst jedoch einen Logikfehler aus, der offenbar den Kerneltreiber der Software zum Absturz brachte. Die Datei sollte Angriffe auf Windows adressieren und wurde nicht an macOS- und Linux-Systeme verteilt.
Das Unternehmen ist derzeit noch mit der Ursachenforschung beschäftigt und verspricht, seinen Workflow zu verbessern, damit sich so ein schwerwiegender Fall nicht wiederholt: „Wir wissen, wie es zu diesem Problem gekommen ist, und führen eine gründliche Ursachenanalyse durch, um herauszufinden, wie dieser Logikfehler entstanden ist. Diese Bemühungen werden fortgesetzt. Wir sind bestrebt, alle grundlegenden oder Workflow-Verbesserungen zu ermitteln, die wir zur Stärkung unseres Prozesses vornehmen können.“
Auch das BSI hat sich am Samstag noch einmal zu der verheerenden IT-Katastrophe geäußert. Demnach normalisiere sich die Lage vielerorts wieder, viele Unternehmen „haben aber nach wie vor mit Folgewirkungen der Störungen zu kämpfen.“ Wie der fehlerhafte Code in das Update gelangen konnte, ist laut BSI noch nicht abschließend geklärt. Die Behörde steht „auch dazu in intensivem Austausch mit dem Unternehmen“.
Derweil nutzen Cyber-Kriminelle offenbar bereits die Gunst der Stunde „für unterschiedliche Formen von Phishing, Scam oder Fake-Webseiten“, warnt das BSI. Sogar inoffizieller Code soll sich im Umlauf befinden. Technische Informationen zu dem Vorfall soll man ausschließlich von CrowdStrike beziehen, warnt das Bundesamt ausdrücklich.
Auch bei einem weiteren IT-Ausfall, der Microsoft Azure betrifft, soll sich die Lage mittlerweile wieder normalisieren. Die Störung, die etwa Teams, Onedrive, Microsoft Defender und Sharepoint betroffen hat, werde derzeit noch analysiert und „ein entsprechender Bericht wurde für kommende Woche angekündigt“, erklärt das BSI. Die bisher veröffentlichten Informationen deuten nicht darauf hin, dass es einen direkten Zusammenhang mit dem CrowdStrike-GAU gibt, abgesehen vom Zeitpunkt des Vorfalls.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.