CrowdStrike-Fiasko: Neue Details zum fatalen Update, BSI warnt vor Angriffen
Die Wurzel allen Übels hat einen Namen: Das Channel File 291 hat weltweit für massive IT-Ausfälle gesorgt. Das BSI warnt unterdessen vor CrowdStrike-Phishing.
- Ronald Eikenberg
Vergangenen Freitag hat ein plötzlicher Ausfall unzähliger Windows-Rechner zu einer weltweiten IT-Katastrophe geführt. Der Verursacher war die sehr verbreitete Security-Software Falcon von CrowdStrike, die vor modernen Cyberangriffen schützen soll – und damit auch vor Ausfällen. Inzwischen hat der Hersteller einige weitere Details zu dem Vorfall preisgegeben.
Demnach hat CrowdStrike am vergangenen Freitag von 06:09 Uhr bis 07:27 Uhr deutscher Zeit ein fehlerhaftes Update ausgespielt. Betroffen waren Systeme, die in dieser Zeit online waren und so automatisch mit dem Update versorgt wurden. Bei der fatalen Aktualisierung handelt es sich um ein sogenanntes Channel File für die Komponente Falcon Sensor, die auf den zu schützenden Clients installiert werden muss.
Channel Files steuern Verhaltensschutzmechanismen der Software, ähnlich Signaturupdates bei Antivirensoftware. CrowdStrike erklärt, solche Dateien mehrmals täglich zu verteilen, um auf aktuelle Bedrohungen reagieren zu können. Das fatale Channel File 291 sollte neue Informationen über benannte Pipes (Named Pipes) mitbringen, die aktuell für Cyberangriffe mit Command-and-Control-Frameworks verwendet werden.
.sys-Datei ist kein Treiber
Auch wenn solche Channel-Dateien die Endung .sys tragen, handelt es sich laut CrowdStrike nicht um Kerneltreiber. Nummer 291 löst jedoch einen Logikfehler aus, der offenbar den Kerneltreiber der Software zum Absturz brachte. Die Datei sollte Angriffe auf Windows adressieren und wurde nicht an macOS- und Linux-Systeme verteilt.
Das Unternehmen ist derzeit noch mit der Ursachenforschung beschäftigt und verspricht, seinen Workflow zu verbessern, damit sich so ein schwerwiegender Fall nicht wiederholt: "Wir wissen, wie es zu diesem Problem gekommen ist, und führen eine gründliche Ursachenanalyse durch, um herauszufinden, wie dieser Logikfehler entstanden ist. Diese Bemühungen werden fortgesetzt. Wir sind bestrebt, alle grundlegenden oder Workflow-Verbesserungen zu ermitteln, die wir zur Stärkung unseres Prozesses vornehmen können."
BSI: Folgewirkungen und Cyber-Angriffe
Auch das BSI hat sich am Samstag noch einmal zu der verheerenden IT-Katastrophe geäußert. Demnach normalisiere sich die Lage vielerorts wieder, viele Unternehmen "haben aber nach wie vor mit Folgewirkungen der Störungen zu kämpfen." Wie der fehlerhafte Code in das Update gelangen konnte, ist laut BSI noch nicht abschließend geklärt. Die Behörde steht "auch dazu in intensivem Austausch mit dem Unternehmen".
Derweil nutzen Cyber-Kriminelle offenbar bereits die Gunst der Stunde "für unterschiedliche Formen von Phishing, Scam oder Fake-Webseiten", warnt das BSI. Sogar inoffizieller Code soll sich im Umlauf befinden. Technische Informationen zu dem Vorfall soll man ausschließlich von CrowdStrike beziehen, warnt das Bundesamt ausdrücklich.
Update zur Azure-Störung
Auch bei einem weiteren IT-Ausfall, der Microsoft Azure betrifft, soll sich die Lage mittlerweile wieder normalisieren. Die Störung, die etwa Teams, Onedrive, Microsoft Defender und Sharepoint betroffen hat, werde derzeit noch analysiert und "ein entsprechender Bericht wurde für kommende Woche angekündigt", erkärt das BSI. Die bisher veröffentlichten Informationen deuten nicht darauf hin, dass es einen direkten Zusammenhang mit dem CrowdStrike-GAU gibt, abgesehen vom Zeitpunkt des Vorfalls. (rei)
