CrowdStrike: Microsoft nennt Zahlen, Ursachenforschung dauert an

Die durch ein fehlerhaftes CrowdStrike-Update ausgelöste Großstörung sorgt auch bei Microsoft für ein verdorbenes Wochenende. Der Redmonder IT-Konzern setzt derzeit nach eigener Aussage Hunderte Techniker ein, die Kunden bei der Wiederbelebung ihrer Windows-Systeme unterstützen. Zudem arbeitet Microsoft mit CrowdStrike zusammen, um nicht mehr startende Windows-PCs zu reparieren.

CrowdStrike-Fiasko – weltweite IT-Ausfälle

Am 19. Juli 2024 sorgte ein automatisch aufgespieltes, fehlerhaftes Update von CrowdStrike für weltweite IT-Ausfälle. Hier finden Sie die wichtigen Beiträge zu dem Thema:

• Crowdstrike wird vorgeladen: Homeland Security will IT-Ausfälle analysieren
• Microsoft veröffentlicht Wiederherstellungstool
• Neue Details zum fatalen Update, BSI warnt vor Angriffen
• Kommentar: IT-Firmen müssen stärker für ihre Fehler haften
• Weltweiter IT-Ausfall: Betrieb wird wieder aufgenommen

Deren Zahl geht laut Microsoft in die Millionen. In einem am Samstag veröffentlichten Blogartikel nennt der Konzern einen ersten Schätzwert 8,5 Millionen betroffener Systeme. Diese Zahl dürfte sich aus Telemetriedaten speisen, die Microsoft zur Qualitätskontrolle nach Systemabstürzen erhebt. Zwar sind das, so Redmond, nur etwa ein Prozent aller Windows-Rechner, diese befänden sich jedoch überproportional häufig in Unternehmen. Das erscheint plausibel, denn CrowdStrike Falcon ist keine typische Privatanwender-Software.

Warum nullte der Pointer?

Experten rätseln derweil, wo sich der fatale Fehler genau verbirgt. Dass es sich um einen "Null-Pointer"-Fehler handelt, scheint gewiss – wo und warum er sich genau in dem fehlerhaften Update einschlich, ist jedoch noch immer Gegenstand verschiedener Analysen. Die heißeste Spur hat derzeit der IT-Security-Experte Patrick Wardle, der dem Fehler mittels Disassembler zu Leibe rückte. Er widersprach – wie auch Google-Koryphäe Tavis Ormandy – damit der offenbar fehlerhaften Analyse eines anderen Experten, die auch wir bei heise security zunächst zitierten.

Offenbar war die mit dem Update ausgespielte "Channel-Datei" mit der Nummer 291 fehlerhaft, denn am Code des eigentlichen Kerneltreibers CSAgent.sys habe sich mit der Aktualisierung nichts geändert, so Wardle weiter. CrowdStrike bestätigte diese Analyse und wies betroffene Kunden an, die Datei zu löschen.

20 Milliarden Börsenwert vernichtet

Die CrowdStrike-Aktie bekam die Großstörung derweil auch zu spüren: Am Freitag ging es um 11,1 Prozent bergab, nachbörslich gab die Aktie erneut um knapp ein Prozent nach. Damit hat das Unternehmen seit Beginn der Störung etwa 20 Milliarden US-Dollar Marktkapitalisierung eingebüßt. Allzu hart dürfte es Aktionäre jedoch nicht treffen: In den vergangenen 12 Monaten hat CrowdStrike seinen Börsenwert mehr als verdoppelt.

Zwar ist für viele Organisationen, deren IT in Trümmern liegt, Phishing eher ein untergeordnetes Thema, jedoch springen Cyberkriminelle bereits seit gestern auf den Zug auf. Das BSI warnte bereits am Samstagmittag vor Phishing-Wellen und Cyberangriffen. So teilten Mailserver-Admins miteinander Listen von Domains mit CrowdStrike-Bezug, etwa:

• crowdstrike.phpartners[.]org
• crowdstrikedown[.]com
• crowdstrikefix[.]zip
• Eine umfangreiche Liste steht Mitgliedern von heise security PRO im Forum zur Verfügung.

Eher humoriger Natur sind Domains à la "clownstrike", "failstrike" oder "crowdstuck", die wohl als Namensvorschläge für die Großstörung dienen. Eine Marotte der IT-Security-Szene ist, möglichst wohlklingende Namen für schwerwiegende Fehler, Cyberangriffe oder Ausfälle zu vergeben, etwa Shellshock, Heartbleed oder Rowhammer.

Auch die sich mehrenden Meldungen über Unternehmen, die dank veralteter Software verschont blieben, fällt eher in die Kategorie "Galgenhumor": Selbst wer seine Installation von CrowdStrike Falcon angewiesen hatte, Updates auf die neueste Softwareversion zu unterlassen, erhielt das als "Inhaltsaktualisierung" markierte Update trotzdem, so Patrick Wardle.

(cku)