CrowdStrike-Ausfälle: Microsoft veröffentlicht Wiederherstellungstool
Microsoft hat ein Image für USB-Sticks veröffentlicht, mit dem sich betroffene Systeme wiederherstellen lassen. Vorausgesetzt, man hat den BitLocker-Key.
Das kaputte Update der Security-Software Falcon von CrowdStrike hattte vor allem deshalb so verheerende Auswirkungen, weil zur Wiederherstellung ein physischer Zugriff auf jedes einzelne der betroffenen Endgeräte nötig ist. Das Intune-Support-Team von Microsoft hat jetzt ein signiertes Tool bereitgestellt, mit dem auch technisch weniger versierte Nutzer ihre Systeme neu starten können. Es installiert ein Rettungssystem auf einem USB-Stick. Dieses führt nach dem Booten die von CrowdStrike empfohlenen Befehle aus, um das betroffene System wieder lauffähig zu machen.
Wiederherstellung mit USB-Stick
Laut Microsoft braucht es zum Erzeugen des bootbaren Sticks einen Client mit einem beliebigen 64-Bit-Windows-System und Administratorrechte auf diesem System. Ein PowerShell-Skript lädt dann das Image und installiert es auf dem Stick. Auf seiner Website stellt Microsoft eine Schritt-für-Schritt-Anleitung für die anschließende Verwendung bereit. Wenn das Dateisystem des betroffenen Rechners durch BitLocker gesichert ist, werden Benutzer während der Wiederherstellung aufgefordert, ihren BitLocker-Schlüssel einzugeben; Voraussetzung ist natürlich, dass Nutzer oder Administratoren diesen auch zur Hand haben oder wiederfinden. Ohne diesen hat das Wiederherstellungssystem keinen Zugriff auf das verschlüsselte Dateisystem und kann die problematische Datei nicht löschen.
Grund der weltweiten Ausfälle unzähliger Windows-Rechner war ein fehlerhaftes Update, das den Kerneltreiber des Falcon-Agenten CSAgent.sys zum Absturz brachte. Es wurde automatisch auf allen Systeme installiert, die die Crowdstrike-Software einsetzten und am vergangenen Freitag von 06:09 Uhr bis 07:27 Uhr deutscher Zeit online waren. Die genaue Ursache des Fehlers, von dem nach einer ersten Schätzung von Microsoft mindestens 8,5 Milllionen Geräte betroffen waren oder sind, ist nach wie vor Gegenstand von Analysen. Am nächsten dran ist derzeit offenbar der IT-Security-Experte Patrick Wardle.
(ulw)