Ein Eingabefeld zuviel
CrowdStrike legt Fehleranalyse vor
Datum:09.08.2024
Autor(en):Peter Marwan
Security-Anbieter CrowdStrike hat jetzt eine Root Cause Analyse des Vorfalls vorgelegt,
der am 19. Juli weltweit zu massiven IT-Ausfällen geführt hat. Darin wird auch erklärt,
wie ein vergleichbares Ereignis künftig vermieden werden soll.
CrowdStrike hat die Analyse des Vorfalls am 19. Juli vorgelegt.
Foto: Below the Sky - shutterstock.com
Wie bekannt, veröffentlichte CrowdStrike am 19. Juli ein sogenanntes "Content-Konfigurationsupdate" für seinen Windows-Sensor. Das Update führte zu einem Systemabsturz. Nach Schätzungen von Microsoft1 waren davon 8,5 Millionen Rechner betroffen. Eine Woche später2 war der Schaden bei 250.000 immer noch nicht behoben. Am 31. Juli teilte CrowdStrike dann mit, dass rund 99 Prozent seiner Windows-Sensors wieder online seien - oder anders gesagt, etwa 85.000 Rechner immer noch Probleme hatten.
Als Ursache des Problems wurde nun3 eine im Februar 2024 eingeführte neue Sensorfunktion ausgemacht. Sie sollte Einblick in mögliche neuartige Angriffstechniken ermöglichen. Diese Funktion sei mit den bei CrowdStrike üblichen Softwareentwicklungsprozessen entwickelt und getestet worden. Am 5. März sowie zwischen dem 8. und 24. April 2024 bereitgestellte Updates hätten auch wie erwartet funktioniert.
Für das am 19. Juli 2024 bereitgestellte "Rapid Response Content Update" war die neue Funktion aus dem Februar weiterentwickelt worden. "Der Sensor erwartete 20 Eingabefelder, während das Update 21 Eingabefelder bereitstellte. In diesem Fall führte die fehlende Übereinstimmung zu einem unzulässigen Speicherzugriff, der den Systemabsturz verursachte", erklärt CrowdStrike nun4.
Welche Maßnahmen CrwodStrike ergriffen hat
Auf Grundlage der Ergebnisse der Untersuchung hat CrowdStrike einige Maßnahmen ergriffen und weitere geplant. Zunächst einmal wurde das Testverfahren und das Bereitstellungverfahren für das Content-Konfigurationssystem verbessert. Das heißt, Updates werden nun gründlicher geprüft und nicht an alle Rechner gleichzeitig ausgeliefert, sondern über mehrere, aufeinanderfolgende Bereitstellungsringe.
Außerdem können Kunden nun besser steuern, wie Updates bereitgestellt werden. Zusätzliche Prüfungen vor der Einführung in die Produktionsumgebung sollen am 19. August 2024 bereitgestellt werden. In Arbeit ist zudem eine weitere Verbesserung des Testprozederes. Dazu sollen zwei unabhängigen Software-Sicherheitsanbieter den "Falcon"-Sensorcode checken sowie die End-to-End-Qualitätskontrolle und das Freigabeverfahren prüfen. Die vollständige Analyse steht hier als PDF zum Download5 bereit.
Weitere Maßnahmen sind wahrscheinlich noch erfordelrich. So hat zum Beispiel das BSI bereits angekündigt6, strengere regeln für alle Security-Hersteller einführen zu wolen. Dazu stehe es mit CrowdStrike und Microsoft in Gesprächen. Außerdem will Microsoft7 für Drittanbieter den Zugriff auf den Windows-Kernel stärker reglementieren.
Bitkom und BSI suchen Opfer der CrowdStrike-Panne in Deutschland8
Delta fordert halbe Milliarde Dollar von Crowdstrike9
Links im Artikel:
1 https://www.channelpartner.de/a/it-panne-betraf-8-5-millionen-windows-geraete,37378092 https://www.channelpartner.de/a/bilanz-nach-einer-woche-crowdstrike-panne,3738130
3 https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
4 https://www.crowdstrike.de/channel-file-291-rca-executive-summary/
5 https://www.crowdstrike.com/wp-content/uploads/2024/08/Channel-File-291-Incident-Root-Cause-Analysis-08.06.2024.pdf
6 https://www.channelpartner.de/a/bsi-plant-neue-regeln-fuer-alle-security-hersteler,3618439
7 https://www.channelpartner.de/a/microsoft-will-windows-kernel-abschotten,3699007
8 https://www.channelpartner.de/a/delta-fordert-halbe-milliarde-dollar-von-crowdstrike,3738389
9 https://www.channelpartner.de/a/delta-fordert-halbe-milliarde-dollar-von-crowdstrike,3738389
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.