camelcase
Goto Top

BSOD-Loop bei Crowdstrike

Guten Morgen,

Böses Erwachen für Crowdstrike-Kunden.

Seit einem Update melden sich viele Sysadmins u.A. auf reddit, dass tausende PCs und Server in einem BSOD-Loop hängen. Dieser wird durch das aktuelle Crowdstrike-Update verursacht.

Manche berichten von ganzen Firmen, die down sind, teilweise startet kein einziger PC und Server mehr, der die aktuelle Crowdstrike Version benutzt.

Falls ihr betroffen seid, kann man den BSOD-Loop beenden, indem man den Ordner


C:\Windows\System32\drivers\CrowdStrike

umbenennt.

https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_late ...
https://www.reddit.com/r/sysadmin/comments/1e6vq04/many_windows_10_machi ...
https://www.reuters.com/world/asia-pacific/australian-cyber-outage-likel ...

Gruß

Content-ID: 1674568525

Url: https://administrator.de/knowledge/bsod-loop-bei-crowdstrike-1674568525.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

CamelCase
CamelCase 19.07.2024 aktualisiert um 09:03:01 Uhr
Goto Top
Ein paar ausgewählte Kommentare

I am sure even the most knowledgeable and resourceful hacking groups couldn't cause a disruption and damage of > this magnitude. And CrowdStrike supposed to save us from the bad guys!
We have hundreds of Windows servers and thousands of Windows workstations affected by this.

Yes, just had 160 servers all BSOD. This is NOT going to be a fun evening.

Just had lots of machines BSOD (Windows 11, Windows 10) all at same time with csagent.sys faulting..

Just enjoying seeing all my servers blue screen... DCs as well... going to be a LONG night

OMG...Our production systems nationwide have either rebooted or crashed. To hell with CS.

Just got the call it is happening at the hospital I work at. 4,000 clients all bootlooping to recovery mode

Why push this update on a Friday afternoon guys? why?!?!?!

Malaysia here, 70% of our laptops are down and stuck in boot, HQ from Japan ordered a company wide shutdown, someone's getting fireblasted for this shit lmao

getting it across servers and desktops here as well
MASSIVE outages

Im Gedenken an alle betroffenen Admins face-smile
CamelCase
CamelCase 19.07.2024 aktualisiert um 10:02:22 Uhr
Goto Top
Kommentar von Crowdstrike:

7/18/24 10:20PM PT - Hello everyone - We have widespread reports of BSODs on windows hosts, occurring on multiple sensor versions. Investigating cause. TA will be published shortly. Pinned thread.

SCOPE: EU-1, US-1, US-2 and US-GOV-1

Edit 10:36PM PT - TA posted: https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crash ...

Edit 11:27 PM PT:

CrowdStrike Engineering has identified a content deployment related to this issue and reverted those changes.
Workaround Steps:
Boot Windows into Safe Mode or the Windows Recovery Environment
Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
Locate the file matching “C-00000291*.sys”, and delete it.
Boot the host normally.

Quelle
anteNope
anteNope 19.07.2024 aktualisiert um 09:09:12 Uhr
Goto Top
Als erste und einzige Lösung vereint CrowdStrike Falcon Virenschutz (AV) der nächsten Generation, Endgeräteerkennung und Reaktion (EDR) sowie Managed Threat Hunting"

Ihr Unternehmen kann innerhalb von nur 62 Minuten ruiniert werden
So lange dauert es im Durchschnitt, bis ein Bedrohungsakteur eindringen und sich lateral in Ihrem Netzwerk bewegen kann.

Peew, krasse Leistung ... da passt irgendwie:

"You either die a hero or you live long enough to see yourself become the villain."
TimelessVision
TimelessVision 19.07.2024 um 09:23:12 Uhr
Goto Top
Hi

Zum Glück habe ich nur einen Kunden, bei dem mir die Wahl des Antivirus durch den Medizindienstleister abgenommen wurde.

Ich habe die Damen durchgeleitet den Wiederherstellungspunkt zu wählen. Somit läuft es wieder. Ausser Chrome. Aber whatever. :D


Gruss
Christof
pebcak7123
pebcak7123 19.07.2024 um 09:24:04 Uhr
Goto Top
Das scheint ja echt historische Ausmaße anzunehmen, alle grösseren Amerikanischen Airlines müssen am Boden bleiben bis auf weiteres.
CamelCase
CamelCase 19.07.2024 aktualisiert um 09:29:14 Uhr
Goto Top
Zitat von @pebcak7123:

Das scheint ja echt historische Ausmaße anzunehmen, alle grösseren Amerikanischen Airlines müssen am Boden bleiben bis auf weiteres.

Jup, ich vermute das ist das Ende von Crowdstrike...

Interessant auch die simultanen spikes auf allestörungen
ukulele-7
ukulele-7 19.07.2024 um 09:31:16 Uhr
Goto Top
Why push this update on a Friday afternoon guys? why?!?!?!

Da wäre ich eher froh drüber, mehr Zeit es zu richten, weniger Nutzer unmittelbar betroffen.
Penny.Cilin
Penny.Cilin 19.07.2024 um 09:39:42 Uhr
Goto Top
Moin,

erinnert mich an das damalige Avira-Update der Virensignaturen. Das gab zu Windows 7 Zeiten auf permanent einen BSOD beim starten. Es half nur Avira zu deinstallieren.
Und wer die die Pro Version von Avira bekam trotzdem keinen Support. Die haben sie einfach tot gestellt.

Nachdem ich selbst davon betroffen war, habe ich rundum etliche PCs, welche Avira nutzten, wiederherstellen müssen.

Gibt es diesen Drecksladen überhaupt noch, bzw. nutzt das noch jemand?

Gruss Penny.
Nils02
Nils02 19.07.2024 um 09:40:30 Uhr
Goto Top
Zitat von @ukulele-7:

Why push this update on a Friday afternoon guys? why?!?!?!

Da wäre ich eher froh drüber, mehr Zeit es zu richten, weniger Nutzer unmittelbar betroffen.

Das öffentliche Leben steht teilweise still, da sind die User eher zweitrangig lol
kpunkt
kpunkt 19.07.2024 um 09:59:31 Uhr
Goto Top
Zitat von @CamelCase:

Kommentar von Crowdstrike:
Wo kann man den nachlesen? Oder ist der nur in deren Portal zu finden.
CamelCase
CamelCase 19.07.2024 um 10:01:41 Uhr
Goto Top
Zitat von @kpunkt:

Zitat von @CamelCase:

Kommentar von Crowdstrike:
Wo kann man den nachlesen? Oder ist der nur in deren Portal zu finden.

https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_late ...
DerMaddin
DerMaddin 19.07.2024 um 10:07:11 Uhr
Goto Top
Die Aktie der Firmengruppe ist auf dem besten Weg den Stand vor von zwei Jahren zu erreichen face-big-smile

screenshot 2024-07-19 100535
kpunkt
kpunkt 19.07.2024 um 10:09:38 Uhr
Goto Top
29,000 customers trust CrowdStrike to protect what matters most

Tjoa....
Never patch on a friday
Penny.Cilin
Penny.Cilin 19.07.2024 um 10:17:52 Uhr
Goto Top
@kpunkt
Tjoa....
Never patch on a friday
Davon rede ich schon seit 5 Jahren. Aber unsere Netzwerkadministratoren patchen / konfigurieren IMMER Freitags Mittags! face-sad

Und Montags kommst Du dann ins Büro bzw. Arbeitsplatz im Home office und es liegen Major Incidents vor. Und zu 99,99 % sind es IMMER Arbeiten seitens der Netzwerkadministratoren gewesen. Ja, diese sind nicht mal in der Lage, vorab die IT Kollegen zu informieren, daß man etwas macht, bzw. was man macht.

Habe das mal in der Mitarbeitersprechstunde mit der GF angesprochen, warum man Montags unnötige MIs hat.
Da war die Hölle los.

Gruss Penny.
ukulele-7
ukulele-7 19.07.2024 um 10:32:46 Uhr
Goto Top
Naja was ist dir denn lieber als Freitag, am Montag? Die Informationspolitik ist ja nicht vom Wochentag abhängig.
kpunkt
kpunkt 19.07.2024 um 10:35:41 Uhr
Goto Top
Zitat von @ukulele-7:

Naja was ist dir denn lieber als Freitag, am Montag?
Der beste Tag ist Dienstag. Liegt daran, dass die meisten Arbeitswochen von Montag bis Freitag gehen.
Nils02
Nils02 19.07.2024 um 10:39:02 Uhr
Goto Top
Zitat von @kpunkt:

Zitat von @ukulele-7:

Naja was ist dir denn lieber als Freitag, am Montag?
Der beste Tag ist Dienstag. Liegt daran, dass die meisten Arbeitswochen von Montag bis Freitag gehen.

Eben. Und genau deshalb macht man so was freitagmittags, um eben so wenig Nutzer wie möglich zu stören.
Die Kommunikation ist natürlich bedauernswert und sollte deutlich besser laufen.
Penny.Cilin
Penny.Cilin 19.07.2024 um 10:56:49 Uhr
Goto Top
@ukulele-7
Naja was ist dir denn lieber als Freitag, am Montag? Die Informationspolitik ist ja nicht vom Wochentag abhängig.
Genau, die Informationsweitergabe ist das Problem. Die Netzwerkadministratoren geben keine Informationen raus.

Inzwischen geben mehrere Teams / Abteilungen einfach die MIs erstmal zu den Netzwerkadministratoren.
Wenn man diese anspricht, erhält man immer die Aussage, "Wir haben niXX gemacht.".

Doch in fas t allen Fällen kommt heraus, daß doch die Netzwerker bei uns etwas gemacht haben! face-sad
Das finde ich in Ordnung. Doch soll man gefälligst informieren.!
Manchmal sind mehrere Personen eines Teams / Abteilung an dem MI dran. Und hinterher stellt sich dan heraus, daß am Netzwerk etwas angepasst wurde. Es gab schon Vorfälle, da konnten sämtliche Berufsausbildungszentren im Konzern NICHT arbeiten!

Gruss Penny.
kpunkt
kpunkt 19.07.2024 um 11:16:07 Uhr
Goto Top
Zitat von @Nils02:


Eben. Und genau deshalb macht man so was freitagmittags, um eben so wenig Nutzer wie möglich zu stören.
Wenn alle Verantwortlichen davon wissen und dann auch freitags und samstags (evtl. auch sonntags) zur Verfügung stehen falls es brennt, dann bin ich bei dir.
Aber oftmals wird eben noch schell ein Patch installiert, geschaut ob der installiert wird und dann ab ins Wochenende. Dass dabei Drittsoftware betroffen ist und auch dann hin und wieder Probleme macht, sieht man dann am Montagmorgen. Und dann eilts. Weil wurde ja schon letzte Woche gemacht und es kann ja ncht sein, dass da was so lange braucht um es zu fixen.
Michi91
Michi91 19.07.2024 um 11:25:42 Uhr
Goto Top
Die Aktie steht schon bei -20%. Mal sehen was da noch kommt... finde die Aktie allerdings ingesamt hart überbewertet und wäre vorsichtig, da eine Chance zu riechen :D
DerMaddin
DerMaddin 19.07.2024 um 11:29:03 Uhr
Goto Top
Zitat von @Michi91:

Die Aktie steht schon bei -20%. Mal sehen was da noch kommt... finde die Aktie allerdings ingesamt hart überbewertet und wäre vorsichtig, da eine Chance zu riechen :D

Das wird vermutlich ab 15:30 Uhr, wenn die NASDAQ öffnet, nochmals einen fetten Rutsch geben. Könnte bei so einem Kursrutsch vielleicht sogar zur Aussetzung des Handels dieser Aktie kommen.
Starmanager
Starmanager 19.07.2024 um 14:45:42 Uhr
Goto Top
Und dann kaufen wieder alle... in ein paar Wochen machen sie dann wieder fette Gewinne ... Wenn man sich vorstellt... ein Vollpfosten drueckt auf den Knopf und geht ins Wochenende.. die verdammten Updates zum gleichen Zeitpunkt ausrollen...
maretz
maretz 20.07.2024 um 09:10:26 Uhr
Goto Top
Zitat von @DerMaddin:

Die Aktie der Firmengruppe ist auf dem besten Weg den Stand vor von zwei Jahren zu erreichen face-big-smile

screenshot 2024-07-19 100535

tja - wenn die da zum schadensersatz rangezogen werden oder auch nur eine Strafe im unteren % Bereich des angerichteten Schadens bezahlen müssen dürfte die Aktie demnächst gegen 0 tendieren... Denn DAS zu zahlen dürfte hart werden (oder die finden nen Weg zu sagen "Mitarbeiter xyz hat gegen Vorschriften verstoßen und ist damit haftbar" - dann kann derjenige sich nur noch nen Strick holen...
ukulele-7
ukulele-7 22.07.2024 um 10:07:35 Uhr
Goto Top
Hat überhaupt schon mal ein Software Hersteller für Schäden durch fehlerhafte Updates gehaftet? Ich glaube, das ist ziemlich ausgeschlossen.
anteNope
anteNope 22.07.2024 um 10:36:40 Uhr
Goto Top
Zitat von @ukulele-7:
Hat überhaupt schon mal ein Software Hersteller für Schäden durch fehlerhafte Updates gehaftet? Ich glaube, das ist ziemlich ausgeschlossen.

Üblicher Weise wird die Software ja als "as-is" vertrieben und dann können die das fein ausschließen.
Wenn man aber Updates verteilt, also den "as-is"-Zustand verändert, sollte das eigentlich ja nicht mehr greifen.

Ich prüfe aktuell auch wie ich Microsoft die Lizenzgebühren kürzen kann wegen dem SSO-Debakel.
Michi91
Michi91 22.07.2024 aktualisiert um 11:04:49 Uhr
Goto Top
Aktie immernoch deutlich über dem Vorjahr unterwegs. Ein Absturz ist wohl nicht mehr zu erwarten. Eventuell wurde auch die Suppe wieder heißer gekocht als gegessen.

Angeblich waren/sind zwischen 5 und 8 Millionen Systeme betroffen, das halte ich bisher für überschaubar. Gab bestimmt schon Windows-Updates die mehr Schaden verursacht haben...

Dumm/ärgerlich ist natürlich das Azure zur gleichen Zeit auch Probleme hatte und anfangs die Informationslage doch ziemlich unübersichtlich war...
ukulele-7
ukulele-7 22.07.2024 um 11:56:10 Uhr
Goto Top
Ich glaube auch Updates sind von der Haftung ausgenommen, es steht dir ja frei, sie erst zu testen. Die einzige Frage, die sich eventuell stellt, ist grobe Fahrlässigkeit. Da hast du dann aber, wenn es überhaupt so weit kommt, nicht eine Fachjury sitzen, sondern ein deutsches Gericht. Und dann ist da noch die Frage nach dem Schaden, der muss ja in DE auch nachgewiesen werden und kommt nicht aus einem Bauchgefühl.