Startseite » Security » Neues Wiederherstellungstool von Microsoft zur Behebung des CrowdStrike-Problems bei Windows-Endpunkten

Neues Wiederherstellungstool von Microsoft zur Behebung des CrowdStrike-Problems bei Windows-Endpunkten

von

Ein fehlerhaftes Update legt weltweit Flughäfen, Krankenhäuser oder Medienunternehmen still. Experten sprechen vom wohl größten IT-Ausfall aller Zeiten. Was darüber bekannt ist – und welche Folgen die Störung hat.

In Reaktion auf das Problem mit dem CrowdStrike Falcon-Agent, das Windows-Clients und -Server betrifft, hat Microsoft ein USB-Tool veröffentlicht, um IT-Administratoren zu helfen, den Reparaturprozess zu beschleunigen. Das signierte Microsoft-Wiederherstellungstool ist im Microsoft Download Center verfügbar. Die Nutzung des Tools erfolgt nach den folgenden Schritten.

Neues Wiederherstellungstool von Microsoft

Als Reaktion auf das CrowdStrike Falcon-Agent-Problem, das Windows-Clients und -Server betrifft, haben wir ein USB-Tool veröffentlicht, um IT-Administratoren zu helfen, den Reparaturprozess zu beschleunigen. Das signierte Microsoft-Wiederherstellungstool ist im Microsoft Download Center verfügbar. Die Nutzung des Tools erfolgt nach den folgenden Schritten:

Voraussetzungen:

  1. Ein Windows 64-Bit-Client mit mindestens 8 GB freiem Speicherplatz.
  2. Administrative Rechte auf dem Windows-Client.
  3. USB-Stick mit mindestens 1 GB Speicherplatz (alle vorhandenen Daten werden gelöscht).
  4. BitLocker-Wiederherstellungsschlüssel für jedes BitLocker-verschlüsselte Gerät.

Anleitung:

  1. Lade das signierte Microsoft-Wiederherstellungstool herunter.
  2. Extrahiere das PowerShell-Skript aus der heruntergeladenen Lösung.
  3. Führe MsftRecoveryToolForCS.ps1 in einer erhöhten PowerShell-Eingabeaufforderung aus.
  4. Die ADK-Installation wird gestartet und kann einige Minuten dauern.
  5. Wähle „N“, um den Schritt zur Treiberauswahl zu überspringen.
  6. Gib den Laufwerksbuchstaben des USB-Sticks ein, wenn dazu aufgefordert wird.
  7. Entferne den USB-Stick nach Abschluss der Erstellung.

Reparatur eines betroffenen Geräts:

  1. Stecke den USB-Stick in das betroffene Gerät.
  2. Starte das Gerät neu.
  3. Wähle im BIOS-Bootmenü „Boot from USB“ aus.
  4. Führe das Tool aus.
  5. Gib den BitLocker-Wiederherstellungsschlüssel ein, falls BitLocker aktiviert ist.
  6. Das Tool führt die empfohlenen Reparaturskripte aus.
  7. Starte das Gerät normal neu.

Weitere Informationen findest du hier: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints – Microsoft Community Hub

Kritisches Update von CrowdStrike Falcon führt zu massiven IT-Ausfällen

CrowdStrike Falcon, eine weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte, hat kürzlich durch ein fehlerhaftes Update weltweit zu erheblichen IT-Ausfällen geführt. Diese Problematik betrifft hauptsächlich Windows-Systeme, während MacOS und Linux-Systeme verschont geblieben sind.

Sachverhalt

Während des Betriebs von CrowdStrike Falcon werden regelmäßig Softwareupdates mittels sogenannter Channel-Dateien ausgerollt, um dynamische Updates und Detektionsregeln zu verteilen. Ein kürzlich veröffentlichtes Update, identifiziert durch die Channel-Datei „C-00000291*.sys“ mit einem Zeitstempel von 04:09 UTC am 19.07.2024, hat jedoch unter Windows zu gravierenden Abstürzen geführt. Systeme, die nach 05:27 UTC eingeschaltet wurden, sind laut Herstellerangaben nicht betroffen, da sie bereits eine fehlerbereinigte Version installiert haben.

Microsoft hat berichtet, dass erste Ausfälle bereits um 19:00 UTC am 18.07.2024 beobachtet wurden, was zu einer weitreichenden Störung bei vielen Organisationen geführt hat, einschließlich Betreibern kritischer Infrastrukturen.

Bewertung der IT-Bedrohungslage

Die IT-Bedrohungslage wird mit Stufe 3 / Orange eingestuft, was bedeutet, dass es zu massiven Beeinträchtigungen des Regelbetriebs kommt. Bisher liegen keine Informationen über eine Betroffenheit von Privatanwendern vor, da es sich um ein Enterprise-Tool handelt.

Maßnahmen und Workarounds

CrowdStrike hat mehrere Workarounds bereitgestellt, um die fehlerhafte Datei zu entfernen und die betroffenen Systeme wieder funktionsfähig zu machen:

  1. Individuelle Systeme:
    • Neustart im abgesicherten Modus oder im Windows-Wiederherstellungsmodus.
    • Navigieren zum Verzeichnis C:\Windows\System32\drivers\CrowdStrike.
    • Löschen der Datei C-00000291*.sys.
    • Normales Booten des Hosts.
  2. Cloudsysteme und virtualisierte Systeme:
    • Neustarten des Hosts, um die aktualisierte Channel-Datei herunterzuladen.
    • Falls Absturz erneut auftritt: Booten in den abgesicherten Modus, Löschen der problematischen Datei wie oben beschrieben.
  3. Microsoft Azure Systeme:

Weitere Hinweise

Betreiber kritischer Infrastrukturen sollten vor einem Neustart von mit Bitlocker verschlüsselten Systemen sicherstellen, dass der Recovery Key gesichert ist. In einigen Fällen kann es ausreichend sein, im „Windows Safe Mode with Network“ zu booten und das automatische Update abzuwarten, welches die fehlerhafte Datei ersetzt.

Fazit

Dieses Ereignis zeigt exemplarisch die möglichen Schäden auf, die entstehen können, wenn Anforderungen an das Patch- und Änderungsmanagement nicht eingehalten werden. Organisationen sollten sicherstellen, dass sie aktuelle Sicherheitsupdates zeitnah und sorgfältig implementieren, um ähnliche Vorfälle zu vermeiden.

Quellen:

Foto des Autors
Autor

Nils Lappenbusch

Ich bin seit 2012 in der IT tätig. Seit 2020 bin ich Microsoft certified Trainer (MCT). Meine Schwerpunkte momentan liegen im Bereich Microsoft 365, Exchange 2016/2019. Die Begleitung der Einführung und Migration in die Cloud sind für mich spannende Aufgaben.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.