Kriminelle nutzten CrowdStrike-Chaos zum Verteilen von Malware aus
Vergangene Woche sorgte eine beispiellose IT-Panne für Chaos, verantwortlich dafür war ein fehlgeschlagenes Update des Sicherheitsunternehmens CrowdStrike. Das wollten Kriminelle ausnutzen und veröffentlichten einen "Fix", der aber nicht viel mehr als Schadsoftware war.
Konkret löste ein problematisches Update bei knapp neun Millionen Windows-Rechnern eine Reboot-Schleife aus, diese gingen mit Blue Screen of Death (BSOD)-Fehlern einher. CrowdStrike und Microsoft reagierten schnell und konnten das Problem verhältnismäßig schnell lösen - die Betonung liegt hier auf relativ, denn zum Zeitpunkt der Veröffentlichung der ersten Gegenmaßnahme war der Schaden bereits gewaltig.
Laut CrowdStrike (via Neowin) wollten unbekannte Cyber-Kriminelle das Durcheinander jedoch ausnutzen und verbreiteten ZIP-Archive mit Namen wie "crowdstrike-hotfix.zip". Diese hatten aber nicht die versprochene Fehlerbehebung zum Inhalt, sondern die HijackLoader-Payload, die bei der Ausführung die Malware RemCos lädt. Dieser versteckte Malware-Angriff richtete sich in erster Linie an Nutzer und CrowdStrike-Kunden in Lateinamerika und dürfte seinen Ursprung in Mexiko haben.
Siehe auch:
Kleine Ursache, gewaltige Auswirkung
Eine Codezeile reichte am vergangenen Freitag, um weite Teil der Welt ins absolute Chaos zu stürzen. Denn Fluglinien, Banken, Krankenhäuser und Medien konnten ihre Rechner nicht länger nutzen, weil der Sicherheitsanbieter CrowdStrike mit einem einzigen sprichwörtlichen Dominostein eine Kettenreaktion auslöste.Konkret löste ein problematisches Update bei knapp neun Millionen Windows-Rechnern eine Reboot-Schleife aus, diese gingen mit Blue Screen of Death (BSOD)-Fehlern einher. CrowdStrike und Microsoft reagierten schnell und konnten das Problem verhältnismäßig schnell lösen - die Betonung liegt hier auf relativ, denn zum Zeitpunkt der Veröffentlichung der ersten Gegenmaßnahme war der Schaden bereits gewaltig.
Laut CrowdStrike (via Neowin) wollten unbekannte Cyber-Kriminelle das Durcheinander jedoch ausnutzen und verbreiteten ZIP-Archive mit Namen wie "crowdstrike-hotfix.zip". Diese hatten aber nicht die versprochene Fehlerbehebung zum Inhalt, sondern die HijackLoader-Payload, die bei der Ausführung die Malware RemCos lädt. Dieser versteckte Malware-Angriff richtete sich in erster Linie an Nutzer und CrowdStrike-Kunden in Lateinamerika und dürfte seinen Ursprung in Mexiko haben.
Phishing parallel zum Chaos
Mehr noch: Im Zuge der Verwirrung gab es auch gleich mehrerer Phishing-Kampagnen, bei denen Übeltäter sich als CrowdStrike-Support-Mitarbeiter ausgaben und versuchten, Login-Daten abzugreifen und sich sonstigen Zugriff auf Systeme zu verschaffen. Als Mittel kamen typische E-Mails zum Einsatz, es werden allerdings auch Telefonanrufe vermeldet, bei denen angebliche Sicherheitsexperten und falsche CrowdStrike-Mitarbeiter ihre Hilfe anboten.Was macht CrowdStrike?
CrowdStrike ist ein führendes Unternehmen im Bereich Cybersecurity, das sich auf den Schutz von Endgeräten spezialisiert hat. Es bietet Sicherheitslösungen für Windows- und Linux-Systeme an, die in vielen großen Unternehmen und Organisationen weltweit eingesetzt werden.
Laut eigenen Angaben bedient CrowdStrike über 298 der Fortune 500 Unternehmen, 43 US-Bundesstaaten, 6 der 10 größten Gesundheitsdienstleister und 8 der 10 führenden Finanzdienstleister in den USA. Dies unterstreicht die zentrale Rolle des Unternehmens in der globalen IT-Sicherheitslandschaft.
Laut eigenen Angaben bedient CrowdStrike über 298 der Fortune 500 Unternehmen, 43 US-Bundesstaaten, 6 der 10 größten Gesundheitsdienstleister und 8 der 10 führenden Finanzdienstleister in den USA. Dies unterstreicht die zentrale Rolle des Unternehmens in der globalen IT-Sicherheitslandschaft.
Was war der Grund für den Ausfall?
Der massive Ausfall wurde durch ein fehlerhaftes Update des CrowdStrike Falcon Sensors verursacht. Dieses Update führte zu einem sogenannten "Blue Screen of Death" (BSOD) auf betroffenen Windows-Systemen, was kontinuierliche Neustarts zur Folge hatte.
Nach ersten Analysen scheint die Ursache ein Null-Pointer-Fehler zu sein. Der Code versuchte auf eine ungültige Speicheradresse zuzugreifen, ohne vorher deren Validität zu überprüfen. Dieser grundlegende Programmierfehler hätte bei sorgfältigen Tests entdeckt werden müssen.
Nach ersten Analysen scheint die Ursache ein Null-Pointer-Fehler zu sein. Der Code versuchte auf eine ungültige Speicheradresse zuzugreifen, ohne vorher deren Validität zu überprüfen. Dieser grundlegende Programmierfehler hätte bei sorgfältigen Tests entdeckt werden müssen.
Wie viele Geräte waren betroffen?
Laut Microsoft waren etwa 8,5 Millionen Windows-Geräte von dem fehlerhaften Update betroffen. Diese Zahl entspricht weniger als einem Prozent aller Windows-Maschinen weltweit.
Trotz des relativ geringen Anteils an der Gesamtzahl der Windows-Systeme waren die Auswirkungen beträchtlich, da viele kritische Infrastrukturen und große Unternehmen betroffen waren. Die vollständige Wiederherstellung aller betroffenen Systeme könnte mehrere Wochen in Anspruch nehmen.
Trotz des relativ geringen Anteils an der Gesamtzahl der Windows-Systeme waren die Auswirkungen beträchtlich, da viele kritische Infrastrukturen und große Unternehmen betroffen waren. Die vollständige Wiederherstellung aller betroffenen Systeme könnte mehrere Wochen in Anspruch nehmen.
Welche Branchen waren betroffen?
Der Ausfall hatte weitreichende Auswirkungen auf verschiedene Branchen weltweit. Besonders betroffen waren Flughäfen und Fluggesellschaften, die mit Verspätungen und Flugausfällen zu kämpfen hatten.
Auch Bankensysteme meldeten Störungen ihrer Online-Dienste, was Probleme bei Kontenzugriffen und Transaktionen verursachte. Im Gesundheitswesen mussten einige Krankenhäuser geplante Operationen verschieben. Selbst Medienunternehmen wie der britische Nachrichtensender Sky News waren betroffen und konnten zeitweise keine Live-Nachrichten senden.
Auch Bankensysteme meldeten Störungen ihrer Online-Dienste, was Probleme bei Kontenzugriffen und Transaktionen verursachte. Im Gesundheitswesen mussten einige Krankenhäuser geplante Operationen verschieben. Selbst Medienunternehmen wie der britische Nachrichtensender Sky News waren betroffen und konnten zeitweise keine Live-Nachrichten senden.
Wie wurde das Problem behoben?
CrowdStrike hat das fehlerhafte Update inzwischen zurückgezogen und arbeitet an einer globalen Lösung. Für bereits betroffene Systeme wurde eine Übergangslösung empfohlen, die das Starten im abgesicherten Modus und das manuelle Löschen einer bestimmten Datei beinhaltet.
Microsoft arbeitet eng mit CrowdStrike und anderen führenden Cloud-Anbietern wie Amazon AWS und Google Cloud zusammen, um den Wiederherstellungsprozess zu beschleunigen. Trotzdem wird erwartet, dass die vollständige Behebung des Problems mehrere Wochen in Anspruch nehmen könnte.
Microsoft arbeitet eng mit CrowdStrike und anderen führenden Cloud-Anbietern wie Amazon AWS und Google Cloud zusammen, um den Wiederherstellungsprozess zu beschleunigen. Trotzdem wird erwartet, dass die vollständige Behebung des Problems mehrere Wochen in Anspruch nehmen könnte.
Gab es ähnliche Vorfälle zuvor?
Es wird berichtet, dass es in der Vergangenheit bereits ähnliche Probleme mit CrowdStrike-Updates gab. Im April dieses Jahres soll ein Update zu Abstürzen auf Servern mit Debian und Rocky Linux geführt haben.
Auch in diesen Fällen wurden offenbar Mängel in den Testprozessen von CrowdStrike deutlich. Es wurde kritisiert, dass bestimmte Betriebssystemversionen nicht Teil der Testmatrix waren, was zu Kompatibilitätsproblemen führte. Diese Vorfälle werfen Fragen zur Qualitätssicherung bei CrowdStrike auf.
Auch in diesen Fällen wurden offenbar Mängel in den Testprozessen von CrowdStrike deutlich. Es wurde kritisiert, dass bestimmte Betriebssystemversionen nicht Teil der Testmatrix waren, was zu Kompatibilitätsproblemen führte. Diese Vorfälle werfen Fragen zur Qualitätssicherung bei CrowdStrike auf.
Was sagt CrowdStrike dazu?
George Kurtz, CEO von CrowdStrike, hat sich in einem Fernsehinterview zu dem Vorfall geäußert. Er drückte sein tiefes Bedauern über den Vorfall aus und versicherte, dass das Unternehmen mit jedem einzelnen Kunden zusammenarbeite, um die Systeme wieder online zu bringen.
Kurtz deutete an, dass CrowdStrike eine interne Untersuchung zu diesem Vorfall einleiten wird. Allerdings wurden seine Aussagen von einigen IT-Verantwortlichen kritisch aufgenommen, da sie die Schwere des Vorfalls und die zugrundeliegenden Fehler nicht ausreichend adressierten.
Kurtz deutete an, dass CrowdStrike eine interne Untersuchung zu diesem Vorfall einleiten wird. Allerdings wurden seine Aussagen von einigen IT-Verantwortlichen kritisch aufgenommen, da sie die Schwere des Vorfalls und die zugrundeliegenden Fehler nicht ausreichend adressierten.
Zusammenfassung
- IT-Panne durch fehlgeschlagenes Update von CrowdStrike
- Kriminelle verbreiteten gefälschten "Fix" als Schadsoftware
- Problematisches Update löste Reboot-Schleife bei Millionen Rechnern aus
- CrowdStrike und Microsoft lösten das Problem relativ schnell
- Cyber-Kriminelle nutzten Chaos für HijackLoader-Payload Verbreitung
- Phishing-Kampagnen imitieren CrowdStrike-Support für Datendiebstahl
- Falsche Telefonanrufe von vermeintlichen Sicherheitsexperten
Siehe auch:
- Wiederherstellung: Microsoft veröffentlicht CrowdStrike-Recovery Tool
- Globaler IT-Ausfall: Microsoft enthüllt Ausmaß der CrowdStrike-Panne
- Das sagt der CrowdStrike-CEO nach dem weltweiten Chaos-Update
- Haarsträubend: Null Pointer im CrowdStrike-Code ist Grund für IT-Chaos
- Kritik an CrowdStrike wächst: Updates legten auch Linux-Server lahm
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen