» »

Potop CrowdStrike dan pozneje

Potop CrowdStrike dan pozneje

Slo-Tech - Po izpadu več tisoč računalniških sistemov po celem svetu, ki jih je včeraj povzročila napačna posodobitev varnostnega paketa CrowdStrike Falcon za Windows, se danes situacija počasi normalizira. Včeraj so stala nekatera letališče, trgovine, tovarne in druga ključna infrastruktura, dokler niso posodobitve ročno odstranili. Ker so bili sistemi ujeti v neskončne zanke ponovnih zagonov, je to trajalo. Izpad sistemov po celem svetu so ponekod označili kot največji izpad v zgodovini.

CrowdStrike se je posul s pepelom in pojasnil, da so vzrok za težave odkrili in odpravili. Prizadeti so bili zgolj računalniki z Windows, ne pa tudi Mac ali Linux. Napačno posodobitev so umaknili ob 7.27 po slovenskem poletnem času, zato so bili prizadeti le računalniki, ki so se v internet povezali in posodobitev naložili pred tem. To pa je bila predvsem vzhodna polobla, ki je dan začela prva - Avstralija, Azija in Evropa.

Problematična je datoteka C-00000291*.sys s časovnim žigom 04:09 UTC, medtem ko je z žigom 05:27 UTC že obnovljena starejša, neproblematična verzija. Podali so obsežna navodila za rešitev zagate. Na posameznih delovnih postajah se datoteka pobriše v Varnem načinu ali Okolje za obnovitev (WRE). Zelo podobno se rešujejo težave tudi v sistemih v oblaku, kjer je treba pridobiti dostop do okvarjene datoteke in jo izbrisati. Alternativna rešitev pa je obnovitev na katerokoli shranjeno verzijo sistema pred 04:09 UTC (6.09 po slovenskem času). Poldrugo uro se je torej nameščala pokvarjena nadgradnja.

V starih časih bi lahko v najslabšem primeru disk preprosto odvijačili in prenesli v delujoč sistem. S šifriranimi nosilci podatkov pa je to teže, ker je ključ za šifriranje shranjen v moduli TPM na prizadeti napravi. Za dostop do podatkov drugod je treba imeti bodisi kopijo ključa bodisi ga obnoviti iz TPM. Kdor tega ne more, ima podatke zaklenjene.

Medtem je, pričakovano, na borzi delnica CrowdStrikea doživela potop. Trgovanje so začeli 17 odstotkov nižje, med dnevom pa se je padec stabiliziral pri 11 odstotkih. Delnica je bila v indeks S&P500 uvrščena minuli mesec.

32 komentarjev

mtosev ::

Dobro so tole zajebali. No ja vsaj ni šlo za cyberattack.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

G-man ::

La Linuxu je Crowdstrike zakuhal s svojim kernel modulom že mesece prej. Očitno imajo zanič QA.

k4vz0024 ::

Ključa se ne da izvoziti?

MrStein ::

Za disk? Seveda se da. In v urejenih okoljih ga tudi imajo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

sbawe64 ::

Če ima kdo naročnino na Spiegel, imajo članek
https://www.spiegel.de/netzwelt/web/cro...

Chaos after CrowdStrike update
"I found the exact line of code that causes the crash"
8.5 million computers were affected, flights could not take off, authorities could not be reached: Here a world-class hacker explains what caused the "biggest 'cyber' incident of all time".
2020 is new 1984
Corona World order

MrStein ::

Problematična je datoteka C-00000291*.sys


To je ena datoteka takim "čudnim" imenom ali več datotek s takim vzorcem imena?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

sbawe64 ::

Več jih je, edino številka je druga.
2020 is new 1984
Corona World order

no comment ::

11% padec je potop?!

zee ::

MrStein je izjavil:

Problematična je datoteka C-00000291*.sys


To je ena datoteka takim "čudnim" imenom ali več datotek s takim vzorcem imena?


Problematicna je menda ena datoteka, meni se je ni dalo iskati in sem po opravljenem backupu pobrisal vse.

Na mestu je vprasanje, zakaj nima Microsoft na mestu zascit, ki bi preprecile programom, ki delujejo tako “globoko” v sistemu, da v primeru napake sesujejo ta sistem do amena.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

starfotr ::

Najbrž je to zgodovinski razlog v ozadju.

s1m0n ::

zee je izjavil:

MrStein je izjavil:

Problematična je datoteka C-00000291*.sys


To je ena datoteka takim "čudnim" imenom ali več datotek s takim vzorcem imena?


Problematicna je menda ena datoteka, meni se je ni dalo iskati in sem po opravljenem backupu pobrisal vse.

Na mestu je vprasanje, zakaj nima Microsoft na mestu zascit, ki bi preprecile programom, ki delujejo tako “globoko” v sistemu, da v primeru napake sesujejo ta sistem do amena.


No ja tudi na Ubuntu sem pri Kernel panic moral z zagonom Livea preko USB mountat pogon, da se je sploh dalo napako odpravit.

OK.d ::

LPOK.d

zee ::

s1m0n je izjavil:

zee je izjavil:

MrStein je izjavil:

Problematična je datoteka C-00000291*.sys


To je ena datoteka takim "čudnim" imenom ali več datotek s takim vzorcem imena?


Problematicna je menda ena datoteka, meni se je ni dalo iskati in sem po opravljenem backupu pobrisal vse.

Na mestu je vprasanje, zakaj nima Microsoft na mestu zascit, ki bi preprecile programom, ki delujejo tako “globoko” v sistemu, da v primeru napake sesujejo ta sistem do amena.


No ja tudi na Ubuntu sem pri Kernel panic moral z zagonom Livea preko USB mountat pogon, da se je sploh dalo napako odpravit.


Ubuntu je zastonj in tipicno ni prisoten v enterprise okoljih.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

LightBit ::

Ubuntu Pro ni zastonj in je prisoten v enterprise okoljih.

paradajzos ::

A to moraš imeti prav namensko inštalirano to CrowdStrike sranje ali prizadene vse M$ sisteme po defoltu če so bili posodobljeni ob nepravem trenutku?
Ker sam kot vedno odlagam trenutno posodobitev, me pa obvešča, da moram restartat, da bi se inštalirala.
Levakarski forum. Moderiranje prolevakarsko.
Prikrito so proruski, tako kot naša oblast.
Bella ciao!

Mr.B ::

paradajzos je izjavil:

A to moraš imeti prav namensko inštalirano to CrowdStrike sranje ali prizadene vse M$ sisteme po defoltu če so bili posodobljeni ob nepravem trenutku?
Ker sam kot vedno odlagam trenutno posodobitev, me pa obvešča, da moram restartat, da bi se inštalirala.

Ja ja...spet nerazumevanje ne vsebine in tematike.

CrowdStrike broke Debian and Rocky Linux months ago, but no one noticed

Pa če gremo malo dlje...

Critical Cisco bug lets hackers add root users on SEG devices
On Wednesday, Cisco also fixed a maximum severity bug that lets attackers change any user password on unpatched Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) license servers, including administrators.


In če dodamo še dodatno tvoje enoumje, je IOS najbolj varen, Samo Izraelci imajo vsa orodja kompletnega nazor iOS naprave, in to kot kaže že kar nekaj let no generacij iOS naprav.


PS: kaj ko bi se raje ukvarjal ti z zalivanjem rožic in manj zahtevnih opravil
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

paradajzos ::

Po izpadu več tisoč računalniških sistemov po celem svetu, ki jih je včeraj povzročila napačna posodobitev varnostnega paketa CrowdStrike Falcon za Windows


Prizadeti so bili zgolj računalniki z Windows, ne pa tudi Mac ali Linux.
Levakarski forum. Moderiranje prolevakarsko.
Prikrito so proruski, tako kot naša oblast.
Bella ciao!

LightBit ::

V tem primeru je CrowdStrike pač zasral posodobitev za Windows. No, Apple očitno ne dovoli da drugi serjejo po jedru.

Edina napaka, ki jo je Microsoft naredil je da ni naredil mikrojedra ali vsaj česa podobnega eBPF.

MrStein ::

Mr.B je izjavil:


PS: kaj ko bi se raje ukvarjal ti z zalivanjem rožic in manj zahtevnih opravil

Kaj ko bi ti pravilno citiral.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

sbawe64 ::

LightBit je izjavil:

V tem primeru je CrowdStrike pač zasral posodobitev za Windows. No, Apple očitno ne dovoli da drugi serjejo po jedru.

Edina napaka, ki jo je Microsoft naredil je da ni naredil mikrojedra ali vsaj česa podobnega eBPF.

V bistvu ni šlo za programsko posodobitev CS Falcona, temveč za novo av definicijo (zato system restore ni naredil nove backup točke).
2020 is new 1984
Corona World order

LightBit ::

To so detajli. Skratka CrowdStrike je nekaj posodobil in očitno imajo tako "genijalen" dizajn. Ne bi jim bilo potrebno vse v jedru lavfat.

Invictus ::

Kaj ima sploh neka AV definicija početi v System32 folderju?

Je pa CrowdStrike pač dokazal da lahko sesuje pol sveta, če je treba...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

bbf ::

no comment je izjavil:

11% padec je potop?!

11% padec je razlog za nakup! Sej poznate, mal potunkaš in hitr kupiš; to pozna tud oni, ki je "update" pripravil.

gozdar1 ::

Tip je bivši MS razvijalec.

CrowdStrike IT Outage Explained by a Windows Developer

LightBit ::

Tukaj je tudi nekaj detajlov: https://www.crowdstrike.com/blog/falcon...

Although Channel Files end with the SYS extension, they are not kernel drivers.

c3p0 ::

gozdar1 je izjavil:

Tip je bivši MS razvijalec.

CrowdStrike IT Outage Explained by a Windows Developer


Tipa spremljam, se mi zdi, da se je precej nazaj držal, bi lahko kako krepko povedal.

sbawe64 ::

Potem velja, da je Av definicija update
C-00000291*.sys
bil napolnjen z nulami ?
2020 is new 1984
Corona World order

Spc ::

sbawe64 je izjavil:

Potem velja, da je Av definicija update
C-00000291*.sys
bil napolnjen z nulami ?

Tako je.
 

sbawe64 ::

Hmm


UPDATE: New info reveals it was a logic flaw in Channel File 291 that controls named pipe execution, not a null pointer dereference like many of us thought. Devs fault 100% (in addition to having systems in place that allow this sort of thing). Updates to Channel Files like these happen multiple times a day.


Vir
https://www.crowdstrike.com/blog/falcon...
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

BT52 ::

Kak da nimaš function chekerja na tem mestu, ko reada fajle je tudi čudno...

Stra ::

Here's another perspective:

Microsoft blames EU regulations
https://www.forbes.com/sites/davidphela...

Veliki führer & sv. aparatčiki te prisilijo da dovoliš dostop do ring 0 celemu kupu third party igralcev, le kaj bi lahko šlo narobe...

Lonsarg ::

Nagradno vprašanje, ali bi zadeva spisana v Rust namesto c++ rešila zadevo in ob compile time našla napako :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Southwestu se v petek ni zgodilo nič, ker uporablja Windows 3.11

Oddelek: Novice / Ostale najave
495070 (869) MrStein
»

Izpad računalniških sistemov po celem svetu, rešitev že znana (strani: 1 2 3 )

Oddelek: Novice / Varnost
12811051 (2495) joez7
»

Potop CrowdStrike dan pozneje

Oddelek: Novice / Operacijski sistemi
324970 (1455) Lonsarg
»

Po svetu obsežen izpad računalniških sistemov, ki je prizadel banke, letališča in trg

Oddelek: Loža
482401 (1185) GupeM

Več podobnih tem