MÜNCHEN (IT BOLTWISE) – Ein fehlerhaftes Update von CrowdStrike hat Millionen Windows-PCs lahmgelegt, was sowohl Microsoft als auch die IT-Sicherheitsbranche vor große Herausforderungen stellt.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Während Kriminelle Fake-Domains registrieren, forscht die Security-Szene weiter nach der Ursache des Ausfalls. Millionen PCs sind laut Microsoft betroffen.
Die durch ein fehlerhaftes CrowdStrike-Update ausgelöste Großstörung sorgt auch bei Microsoft für ein verdorbenes Wochenende. Der Redmonder IT-Konzern setzt derzeit nach eigener Aussage Hunderte Techniker ein, die Kunden bei der Wiederbelebung ihrer Windows-Systeme unterstützen. Zudem arbeitet Microsoft mit CrowdStrike zusammen, um nicht mehr startende Windows-PCs zu reparieren.
Deren Zahl geht laut Microsoft in die Millionen. In einem am Samstag veröffentlichten Blogartikel nennt der Konzern einen ersten Schätzwert von 8,5 Millionen betroffenen Systemen. Diese Zahl dürfte sich aus Telemetriedaten speisen, die Microsoft zur Qualitätskontrolle nach Systemabstürzen erhebt. Zwar sind das, so Redmond, nur etwa ein Prozent aller Windows-Rechner, diese befänden sich jedoch überproportional häufig in Unternehmen. Das erscheint plausibel, denn CrowdStrike Falcon ist keine typische Privatanwender-Software.
Warum nullte der Pointer?
Experten rätseln derweil, wo sich der fatale Fehler genau verbirgt. Dass es sich um einen „Null-Pointer“-Fehler handelt, scheint gewiss – wo und warum er sich genau in dem fehlerhaften Update einschlich, ist jedoch noch immer Gegenstand verschiedener Analysen. Die heißeste Spur hat derzeit der IT-Security-Experte Patrick Wardle, der dem Fehler mittels Disassembler zu Leibe rückte. Er widersprach – wie auch Google-Koryphäe Tavis Ormandy – damit der offenbar fehlerhaften Analyse eines anderen Experten.
Offenbar war die mit dem Update ausgespielte „Channel-Datei“ mit der Nummer 291 fehlerhaft, denn am Code des eigentlichen Kerneltreibers CSAgent.sys habe sich mit der Aktualisierung nichts geändert, so Wardle weiter. CrowdStrike bestätigte diese Analyse und wies betroffene Kunden an, die Datei zu löschen.
20 Milliarden Börsenwert vernichtet
Die CrowdStrike-Aktie bekam die Großstörung derweil auch zu spüren: Am Freitag ging es um 11,1 Prozent bergab, nachbörslich gab die Aktie erneut um knapp ein Prozent nach. Damit hat das Unternehmen seit Beginn der Störung etwa 20 Milliarden US-Dollar Marktkapitalisierung eingebüßt. Allzu hart dürfte es Aktionäre jedoch nicht treffen: In den vergangenen 12 Monaten hat CrowdStrike seinen Börsenwert mehr als verdoppelt.
Zwar ist für viele Organisationen, deren IT in Trümmern liegt, Phishing eher ein untergeordnetes Thema, jedoch springen Cyberkriminelle bereits seit gestern auf den Zug auf. Das BSI warnte bereits am Samstagmittag vor Phishing-Wellen und Cyberangriffen. So teilten Mailserver-Admins miteinander Listen von Domains mit CrowdStrike-Bezug, etwa:
- crowdstrike.phpartners[.]org
- crowdstrikedown[.]com
- crowdstrikefix[.]zip
Eine umfangreiche Liste steht Mitgliedern von heise security PRO im Forum zur Verfügung. Eher humoriger Natur sind Domains à la „clownstrike“, „failstrike“ oder „crowdstuck“, die wohl als Namensvorschläge für die Großstörung dienen. Eine Marotte der IT-Security-Szene ist, möglichst wohlklingende Namen für schwerwiegende Fehler, Cyberangriffe oder Ausfälle zu vergeben, etwa Shellshock, Heartbleed oder Rowhammer.
Auch die sich mehrenden Meldungen über Unternehmen, die dank veralteter Software verschont blieben, fällt eher in die Kategorie „Galgenhumor“: Selbst wer seine Installation von CrowdStrike Falcon angewiesen hatte, Updates auf die neueste Softwareversion zu unterlassen, erhielt das als „Inhaltsaktualisierung“ markierte Update trotzdem, so Patrick Wardle.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.