Microsoft reagiert auf Crowdstrike Probleme

8,5 Millionen Systeme waren voraussichtlich nach Informationen des BSI von dem Fehler der Sicherheitssoftware Crowdstrike Falcon betroffen. Es betraf hauptsächlich Windows Endgeräte und Server und führte zu Flugausfällen bis hin zu Krankenhäusern, die stillstanden. Crowdstrike hatte daraufhin mit einem dramatischen Aktienkursverfall zu rechnen und auch Microsoft verlor gut 2% am Markt.

Microsoft reagiert schnell

Schon am Morgen des Freitag kurz nach dem Aufwachen explodierte X, Reddit, LinkedIn und auch die Microsoft Teams internen Microsoft Kanäle. Alle waren aktiv und Personen wurden aus dem Urlaub zurück geholt.

Helping our customers through the CrowdStrike outage – The Official Microsoft Blog

Ab Samstag gibt es nun auch schon ein Recovery Tool für den Fehler von Crowdstrike Falcon.

New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints – Microsoft Community Hub

und der Supportbeitrag zu KB5042421

KB5042421: CrowdStrike issue impacting Windows endpoints causing an 0x50 or 0x7E error message on a blue screen – Microsoft Support

Kommentar von Scott Hanselman 

„Engineering ist ein Teamsport“ Posten | Feed | LinkedIn

 

BSI

Auch das BSI reagierte schnell:

BSI – Weltweite IT-Ausfälle (bund.de)

 

 

Admincenter (Kopie)

Aktualisiert am 25. Juli 2024: Microsoft hat weitere Anleitungen zur Windows-Resilienz veröffentlicht: Best Practices und der Weg in die ZukunftErfahren Sie mehr darüber, wie wir eng zusammenarbeiten, um die Resilienz im gesamten Windows-Ökosystem zu verbessern, und erkunden Sie bewährte Methoden, die Sie zur Unterstützung der Resilienz in Ihrer Organisation verwenden können.
Aktualisiert am 22. Juli 2024: Microsoft hat eine dritte Option zur Risikominderung für das CrowdStrike Falcon-Agent-Problem veröffentlicht, das sich auf Windows-Clients und -Server auswirkt. Wenn Geräte mit den beiden vorherigen Optionen nicht wiederhergestellt werden können, können IT-Administratoren PXE zur Behebung verwenden. Detaillierte Anweisungen zu den Voraussetzungen und Konfigurationen für die Verwendung der PXE-Wiederherstellung finden Sie im überarbeiteten neuen Wiederherstellungstool zur Unterstützung des CrowdStrike-Problems, das sich auf Windows-Endpunkte auswirkt.
Aktualisiert am 21. Juli 2024: Als Folge des CrowdStrike Falcon-Agentenproblems, das sich auf Windows-Clients und -Server auswirkte, hat Microsoft ein aktualisiertes Wiederherstellungstool mit zwei Reparaturoptionen veröffentlicht, mit dem IT-Administratoren den Reparaturprozess beschleunigen können. Basierend auf Kundenfeedback enthält diese neue Version eine neue Option für die Wiederherstellung mit sicherem Start, die Option zum Generieren von ISO oder USB, einen Fix für die ADK-Erkennung bei der Installation des Windows-Treiberkits und einen Fix für die Überprüfung der USB-Datenträgergröße. Detaillierte Anweisungen zur Verwendung des signierten Microsoft Recovery Tools finden Sie im überarbeiteten neuen Wiederherstellungstool zur Unterstützung des CrowdStrike-Problems, das sich auf Windows-Endpunkte auswirkt.
Aktualisiert am 20. Juli 2024: Microsoft hat KB5042426 veröffentlicht, das eine Schritt-für-Schritt-Anleitung für lokal gehostete Windows-Server enthält, auf denen der CrowdStrike Falcon-Agent ausgeführt wird und auf dem eine 0x50 oder 0x7E Fehlermeldung auf einem blauen Bildschirm angezeigt wird. Wir werden weiterhin mit CrowdStrike zusammenarbeiten, um die aktuellsten verfügbaren Informationen zu diesem Thema bereitzustellen.
Ein neues USB-Wiederherstellungstool ist verfügbar, mit dem IT-Administratoren den Reparaturprozess beschleunigen können. Das neue Tool finden Sie im Microsoft Download Center. Weitere Informationen zum neuen Wiederherstellungstool und zu den Nutzungsanweisungen finden Sie unter Neues Wiederherstellungstool, um bei CrowdStrike-Problemen zu helfen, die sich auf Windows-Endpunkte auswirken.
Aktualisiert am 19. Juli 2024: Der neue Knowledge Base-Artikel KB5042421 mit zusätzlichen Schritt-für-Schritt-Anleitungen ist jetzt für Windows 11- und Windows 10-Clients verfügbar. Wir werden weiterhin mit CrowdStrike zusammenarbeiten, um aktuelle Informationen zur Risikominderung bereitzustellen, sobald diese verfügbar sind.
Microsoft hat ein Problem identifiziert, das sich auf Windows-Endpunkte auswirkt, auf denen der CrowdStrike Falcon-Agent ausgeführt wird. Diese Endpunkte können eine Fehlermeldung auf einem blauen Bildschirm erhalten und einen kontinuierlichen Neustart erleben.
Wir haben Berichte über eine erfolgreiche Wiederherstellung von einigen Kunden erhalten, die mehrere Neustartvorgänge auf betroffenen Windows-Endpunkten versucht haben.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Starten Sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung.
  2. Navigieren Sie zum Verzeichnis C:\Windows\System32\drivers\CrowdStrike
  3. Suchen Sie die Datei, die mit „C-00000291*.sys“ übereinstimmt, und löschen Sie sie.
  4. Starten Sie das Gerät neu.
  5. Für die Wiederherstellung von Systemen ist in einigen Fällen ein Bitlocker-Schlüssel erforderlich.
Führen Sie für virtuelle Windows-Computer, die in Azure ausgeführt werden, die Schritte zur Risikominderung im Azure-Status aus.
Weitere Details zu CrowdStrike finden Sie hier: Statement on Windows Sensor Update – CrowdStrike Blog.