Jump to content

Update-Fehler bei Crowdstrike legt Windowssysteme lahm


Empfohlene Beiträge

Hallo zusammen,

 

da rollt für die Admins wohl Arbeit an.

 

Weltweiter IT-Ausfall: Flughäfen, Banken und Geschäfte betroffen:

https://www.heise.de/news/Weltweiter-IT-Ausfall-Flughaefen-Banken-und-Geschaefte-betroffen-9806343.html

 

Update-Panne bei Crowdstrike:

https://www.golem.de/news/update-panne-bei-crowdstrike-unzaehlige-windows-pcs-koennen-nicht-mehr-booten-2407-187236.html

 

VG

Damian

Link zu diesem Kommentar

Auf kritischen Systemen Software einzusetzen, die mit erhöhten Privilegien läuft und vom Hersteller automatisch aktualisiert werden kann, ist möglicherweise nur eine begrenzt schlaue Idee.

 

Wenn die Firma gehackt und ein bösartiges Update ausgerollt wird, ist es mit Löschen einer Datei dann nicht getan. Vielleicht hilft dann ja die KI-Lösung eines anderen Herstellers.

 

Wenigstens ist die Werbung ehrlich:

 

spacer.png

:-)

bearbeitet von mwiederkehr
Link zu diesem Kommentar
vor 16 Minuten schrieb mwiederkehr:

Auf kritischen Systemen Software einzusetzen, die mit erhöhten Privilegien läuft und vom Hersteller automatisch aktualisiert werden kann, ist möglicherweise nur eine begrenzt schlaue Idee.

Welche endpoint Lösung kennst du denn, die sich nicht automatisch aktualisiert? Und „kritisch“ ist in so einem Fall ja nicht das einzelne System, sondern eben die Gesamtheit. 

Link zu diesem Kommentar
vor 20 Minuten schrieb NorbertFe:

Welche endpoint Lösung kennst du denn, die sich nicht automatisch aktualisiert? Und „kritisch“ ist in so einem Fall ja nicht das einzelne System, sondern eben die Gesamtheit. 

Jeder AV/Sec Gruschd läuft ja doch ziemlich tief :-/

bearbeitet von v-rtc
Edit
Link zu diesem Kommentar

Die Frage, die sich jetzt wohl einige Leute mehr stellen, ist, ob der Nutzen solcher Lösungen die Nachteile überwiegt. Signaturbasierte Malware-Erkennung funktioniert schon lange nicht mehr zuverlässig und ich bin nicht überzeugt, dass Heuristik, neumodisch "KI" genannt, wesentlich besser ist. Ich habe schon viele Probleme mit Antiviren-Software mitbekommen und auch einige Fälle von erfolgreichen Malware-Attacken. Bei jedem Opfer war ein Virenscanner installiert. Das Geld wäre jeweils besser in organisatorische Massnahmen investiert gewesen. Das soll nicht heissen, dass ich gegen jegliche Sicherheitslösungen bin. Eine Firewall kann gerne per KI ungewöhnliches Verhalten erkennen und den betreffenden Client vom Netz abklemmen, solange sie das nicht zu häufig unbegründet macht. Aber von Virenscannern auf Endgeräten bin ich kein Freund.

Link zu diesem Kommentar

@mwiederkehr Das steht halt in allen PDF-Dateien vom BSI & Co. Wenn Du bei Prüfungen nicht hast, bist du dran.

Leider testen Virenprogrammierer ihre Machwerke eben auch: Gegen Scanner-Dienste, die keine Ergebnisse oder Samples verpetzen.

Daher helfen Virenscanner bei frischen Viren eben nicht mehr. Die Zeiten, wo man Viren nur über Disketten oder USB-Sticks bekam, sind lange vorbei. Wo bei die bei solchen Medien tatsächlich noch Sinn machen.

Link zu diesem Kommentar
vor 1 Stunde schrieb mwiederkehr:

Signaturbasierte Malware-Erkennung funktioniert schon lange nicht mehr zuverlässig und ich bin nicht überzeugt, dass Heuristik, neumodisch "KI" genannt, wesentlich besser ist.

 

Bei Crowdstrike war doch ein "Treiber" das Problem. Zumindest war der Workaround eben "c:\windows\system32\drivers\crowdstrike\C-00000291*.sys" zu löschen. Die Falcon Platform bietet ja durch aus mehr, als nur Heuristik / Maleware-Erkennung. Desto weiter du bspw. in Richtung "Falcon Elite" oder "Falcon complete" schaust, kommen mehr - in meinen Augen - sinnvolle Funktionen wie Threat Hunting, Detection & Response und Identity Protection dazu. Das kriegst du natürlich auch bei Microsoft, SentinelOne, ... Und jetzt bist du wieder am gleichen Punkt "wie früher", dass dir sowas mit jedem "Virenschutz" passieren kann.

 

Am Ende des Tages gab es sicherlich schon bei jedem AV Hersteller Probleme mit Pattern / Updates, die dann von BSOD bis zu False Positive und dem Löschen von Systemdateien geführt haben. ;)

 

Link zu diesem Kommentar
vor 2 Stunden schrieb testperson:

Am Ende des Tages gab es sicherlich schon bei jedem AV Hersteller Probleme mit Pattern

Jawoll!... McAffee.. Da kann ich mich noch gut dran erinnern. 

 

Nichts ahnend beim Grillen bekam ich einen Anruf von meinem Chef mit der Bitte nochmal ins Geschäft zukommen. 

McAffee hatte auf allen Systemen die SVCHOST.exe, im laufenden Betrieb gelöscht... Ich arbeitete zu dem Zeitpunkt im Krankenhaus.

Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...