Am Puls von Microsoft

Crowdstrike: Erste Ergebnisse der internen Untersuchung des Vorfalls liegen vor

Crowdstrike: Erste Ergebnisse der internen Untersuchung des Vorfalls liegen vor

Nachdem am vergangenen Freitag zahlreiche Ausfälle rund um den Globus durch ein fehlerhaftes Update von Falcon Sensor für Windows-Systeme bekannt geworden sind, liegt ein aufregendes Wochenende hinter den IT-Verantwortlichen in den betroffenen Unternehmen und Einrichtungen. Microsoft und Crowdstrike haben die Betroffenen unter anderem mit Anleitungen und einem Recovery Tool unterstützt, nun legt Crowdstrike auch die ersten Ergebnisse der Fehlersuche offen.

Den gesamten Report könnt ihr euch an dieser Stelle durchlesen, ich werde euch aber nachfolgend die wichtigsten Informationen in deutscher Sprache hier hinterlassen:

Was ist passiert?

Am Freitag, den 19. Juli 2024 um 04:09 UTC veröffentlichte CrowdStrike im Rahmen des regulären Betriebs ein Inhaltskonfigurationsupdate für den Windows-Sensor, um Telemetriedaten zu möglichen neuartigen Bedrohungstechniken zu sammeln. Diese Updates sind ein regelmäßiger Bestandteil der dynamischen Schutzmechanismen der Falcon-Plattform. Das problematische Konfigurationsupdate für Rapid Response Content führte zu einem Windows-Systemabsturz.

Zu den Systemen gehören Windows-Hosts mit Sensorversion 7.11 und höher, die zwischen Freitag, dem 19. Juli 2024 04:09 UTC und Freitag, dem 19. Juli 2024 05:27 UTC online waren und das Update erhalten haben. Mac- und Linux-Hosts waren davon nicht betroffen. Der Fehler im Inhaltsupdate wurde am Freitag, den 19. Juli 2024 um 05:27 UTC rückgängig gemacht. Systeme, die nach dieser Zeit online gingen oder während des Zeitfensters keine Verbindung herstellten, waren davon nicht betroffen.

Was ist schief gelaufen?

CrowdStrike liefert Aktualisierungen der Konfiguration von Sicherheitsinhalten für unsere Sensoren auf zwei Arten: Sensorinhalte, die direkt mit unserem Sensor ausgeliefert werden, und Rapid Response Inhalte, die darauf ausgelegt sind, mit operativer Geschwindigkeit auf die sich ändernde Bedrohungslandschaft zu reagieren.

Bei dem Problem am Freitag handelte es sich um ein Rapid Response Content-Update mit einem unentdeckten Fehler.

Was ist am 19. Juli 2024 passiert?

Am 19. Juli 2024 wurden zwei weitere IPC-Vorlageninstanzen bereitgestellt. Aufgrund eines Fehlers im Content Validator hat eine der beiden Vorlageninstanzen die Validierung bestanden, obwohl sie problematische Inhaltsdaten enthielt. Basierend auf den Tests, die vor der ersten Bereitstellung des Vorlagentyps (am 05. März 2024) durchgeführt wurden, dem Vertrauen in die im Content Validator durchgeführten Prüfungen und früheren erfolgreichen Bereitstellungen von IPC-Vorlageninstanzen wurden diese Instanzen in der Produktion bereitgestellt.

Beim Empfang durch den Sensor und beim Laden in den Content Interpreter führte problematischer Inhalt in der Kanaldatei 291 zu einem Speicherlesevorgang außerhalb des zulässigen Bereichs, der eine Ausnahme auslöste. Diese unerwartete Ausnahme konnte nicht ordnungsgemäß behandelt werden, was zu einem Absturz des Windows-Betriebssystems (BSOD) führte.

Über den Autor

Kevin Kozuszek

Kevin Kozuszek

Seit 1999 bin ich Microsoft eng verbunden und habe in diesem Ökosystem meine digitale Heimat gefunden. Bei Dr. Windows halte ich euch seit November 2016 über alle Neuigkeiten auf dem Laufenden, die Microsoft bei seinen Open Source-Projekten und der Entwicklerplattform zu berichten hat. Regelmäßige News zu Mozilla und meinem digitalen Alltag sind auch dabei.

Anzeige