Nachricht

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Neuer Weisheitsbericht

Herausgeber: Aeneas so schläfrig

[Einführung in die neue Weisheit] Absolut, ausländische Medien haben gerade herausgefunden: Der CrowdStrike-CEO, der die Bluescreen-Katastrophe von Microsoft verursachte, brachte in der Windows XP-Ära dieses Mal Geräte auf der ganzen Welt zum Absturz. Es handelt sich um dasselbe Update, es trennt jedoch auch die Verbindung zum Gerät und erfordert außerdem eine manuelle Reparatur. Dieser Mann, der zweimal weltweite IT-Katastrophen verursacht hat, ist „in die Geschichte eingegangen“.

Der globale Bluescreen-Vorfall von Microsoft wurde behoben!

Ein durch die Konfigurationsdatei „C-00000291*.sys“ ausgelöster Systemlogikfehler zerstörte sofort etwa 1 Milliarde Computer auf der ganzen Welt und löste anschließend alle Effekte zweiter und dritter Ordnung aus.

Wie der KI-Meister Karpathy sagte, werden die im technischen Bereich immer noch auftretenden Einzelpunkt-Sofortausfälle enorme versteckte Gefahren für die menschliche Gesellschaft mit sich bringen.

Ausländische Medien enthüllten, dass der Initiator dieser globalen TI-Katastrophe, der CEO von CrowdStrike, vorbestraft ist –

Im Jahr 2010 war er derjenige, der ein Update bei McAfee nutzte, um Geräte auf der ganzen Welt zum Absturz zu bringen!

Logikfehler löst globalen Zusammenbruch aus

Sobald der Fehler auftrat, warnten einige Internetnutzer alle: Stoppen Sie alle CrowdStrike-Updates! Stoppen Sie alle CrowdStrike-Updates!

Bezüglich der Ursache des Vorfalls führte Patrick Wardle, Gründer der Objective-See Foundation, ebenfalls umgehend eine detaillierte Untersuchung durch.

Zuerst schaute er sich den Fehlerort an – mov r9d, [r8]. Unter diesen gehört R8 zur nicht zugeordneten Adresse.

Dieser Ort wird aus dem Zeiger-Array (gespeichert in RAX) übernommen, Index RDX (0x14 * 0x8) enthält eine ungültige Speicheradresse.

Andere „Treiber“ (z. B. „C-00000291-...32.sys“) scheinen verschleierte Daten zu sein und von „CSAgent.sys“ einer X-Referenz unterzogen zu werden.

Daher haben möglicherweise diese ungültigen (Konfigurations-/Signatur-)Daten den Fehler in CSAgent.sys ausgelöst.

Durch Debuggen lässt sich dies leichter feststellen.

Offensichtlich ist die wichtigste unbeantwortete Frage bei dem Vorfall: Was genau ist diese Datei „C-00000291-...xxx.sys“?

Sobald CSAgent.sys darauf verweist, stürzt es sofort ab; durch das Löschen wird der Absturz behoben.

Auf VT hat er außerdem CSAgent.sys sowie Daten aus einem einzelnen Crash-Dump zurückentwickelt.

Schließlich teilte Wardle mehrere Versionen von CSAgent.sys (+idb) sowie verschiedene „C-....sys“-Dateien (einschließlich der neuesten, von der er glaubte, dass sie den „Fix“ enthielt).

Er sagte, dass er hofft, dass die Internetnutzer weiter stöbern können, da er weder über Windows-Systeme noch über virtuelle Maschinen verfügt.

Erst gestern hat der Malware-Experte Malware Utkonos weitere Details entdeckt –

Unter der Adresse 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66 scheint es eine magische Dateiprüfung für 0xaaaaaaaa zu geben.

Dieser Modus umfasst auch die ersten vier Bytes von „Channel Files“. Dateien, die alle NULL sind, können dazu führen, dass der CMP fehlschlägt.

Wie Sie sehen können, wird der Wert in rcx im Vergleich zu 0xaaaaaaaa oben von ExAllocatePoolWithTagPriority zugewiesen. Es gibt den Puffer, der die von ZwReadFile gelesenen Daten empfängt.

Dieser Wert wird dann mithilfe von cmp an Funktionen übergeben (Utkonos hat diese Funktionen im Diagramm als interne wdm.h-Funktionsaufrufe bezeichnet).

Durch die Plausibilitätsprüfung kann festgestellt werden, dass das Bytemuster 0xaaaaaaaa nur einmal am Offset 0 der hier überprüften „Kanaldatei“ vorkommt.

Das Folgende ist die Adresse, um so etwas wie cmp auszuführen.

Wie Sie sehen, sieht nur 0xaaaaaaaa anders aus.

Offizielle CrowdStrike-Erklärung

Bald klärte die Erklärung, die CrowdStrike auf seinem offiziellen Blog veröffentlichte, die Fragen, die die Internetnutzer verwirrten –

Am 19. Juli 2024 um 04:09 UTC veröffentlichte CrowdStrike im laufenden Betrieb ein Sensorkonfigurations-Update für Windows-Systeme, das auch Teil des Schutzmechanismus der Falcon-Plattform ist. Dieses Konfigurationsupdate löste einen Logikfehler aus, der auf den betroffenen Systemen einen Absturz und einen Bluescreen of Error (BSOD) verursachte. Das Update, das zum Absturz des Systems führte, wurde am 19. Juli 2024 um 05:27 UTC behoben.

Meldeadresse: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Die technischen Details sind wie folgt -

In Windows-Systemen befindet sich die Kanaldatei im folgenden Verzeichnis: C:WindowsSystem32driversCrowdStrike, und der Dateiname beginnt mit „C-“. Jede Kanaldatei wird durch eine eindeutige Nummer identifiziert.

Die bei diesem Vorfall betroffene Kanaldatei ist 291 und der Dateiname beginnt mit „C-00000291-“ und endet mit der Erweiterung .sys. Obwohl Kanaldateien mit der Erweiterung SYS enden, sind sie keine Kernel-Treiber.

Die Kanaldatei 291 beeinflusst, wie Falcon die Ausführung benannter Pipes auf Windows-Systemen auswertet. Diese benannten Pipes sind der Mechanismus, der für die normale Kommunikation zwischen Prozessen oder Systemen in Windows verwendet wird.

Das Update vom Freitag sollte auf neu entdeckte bösartige Named Pipes abzielen, die in C2-Frameworks verwendet werden und bei Cyberangriffen häufig vorkommen. Tatsächlich löste es jedoch einen logischen Fehler im System aus, der zu einem Absturz führte.

Dies hat jedoch nichts mit Null-Byte-Problemen in der Kanaldatei 291 oder einer anderen Kanaldatei zu tun.

Dieser Vorfall wurde von Internetnutzern mithilfe von Suno in ein Lied umgewandelt

Zur Wiederherstellung müssen Sie die Maschine im abgesicherten Modus starten, sich als lokaler Administrator anmelden und den Inhalt löschen – das lässt sich nicht automatisieren.

Daher hat diese Lähmung so große Auswirkungen und es ist schwierig, sich davon zu erholen.

Letztes Mal war er es auch

CrowdStrike gab seinen Fehler zu und gab am Freitag eine Entschuldigung und eine Lösung heraus.

Sie haben jedoch noch nicht erklärt, wie das schädliche Update ohne Tests und andere Sicherheitsmaßnahmen veröffentlicht wurde.

Natürlich konzentrierten sich viele kritische Stimmen auf die zentrale Figur des Vorfalls: CrowdStrike-CEO George Kurtz.

Der Technologiebranchenanalyst Anshel Sag wies darauf hin, dass dies nicht das erste Mal sei, dass Kurtz eine wichtige Rolle bei einem großen IT-Vorfall gespielt habe.

Bekanntes Rezept, bekannter Geschmack

Am 21. April 2010 veröffentlichte die Antivirensoftware McAfee ein Software-Update für Unternehmenskunden.

Durch den Erwerb der aktualisierten Software wurde eine kritische Datei von Windows-Systemen gelöscht, was dazu führte, dass Millionen von Computern auf der ganzen Welt abstürzten und wiederholt neu starteten.

Ähnlich wie der CrowdStrike-Fehler erfordert auch das Problem von McAfee eine manuelle Reparatur (das Gerät ist nicht verbunden und offline).

Und Kurtz war damals Chief Technology Officer von McAfee.

Im Jahr 2012 gründete Kurtz CrowdStrike und fungiert bis heute als CEO.

Was ist im Jahr 2010 passiert?

Am 21. April 2010 um 6 Uhr morgens veröffentlichte McAfee ein „problematisches“ Virendefinitions-Update für Unternehmenskunden.

Dann geraten diese automatisch aktualisierten Windows XP-Computer direkt in eine „Endlos-Neustart“-Schleife, bis Mitarbeiter des technischen Supports eintreffen, um sie manuell zu reparieren.

Der Grund dafür ist eigentlich ganz einfach: Nach Erhalt der neuen Definition erkennt die Antivirensoftware eine reguläre Windows-Binärdatei „svchost.exe“ als den Virus „W32/Wecorl.a“ und zerstört sie.

Ein IT-Mitarbeiter der Universität berichtete, dass dadurch 1.200 Computer in seinem Netzwerk ausgefallen seien.

In einer weiteren E-Mail eines US-Unternehmens hieß es, es seien „Hunderte von Benutzern“ betroffen:

Dieses Problem betrifft eine große Anzahl von Benutzern und ein einfaches Ersetzen von svchost.exe löst das Problem nicht. Sie müssen im abgesicherten Modus starten, die Datei extra.dat installieren und dann die vsca-Konsole manuell ausführen. Danach müssen Sie auch die unter Quarantäne gestellten Dateien löschen. Für jeden Benutzer sind mindestens zwei Dateien unter Quarantäne gestellt, bei manchen Benutzern sind es sogar 15. Leider können Sie mit dieser Methode nicht feststellen, welche der wiederhergestellten Dateien wichtige Systemdateien und welche Virendateien sind.

Darüber hinaus gibt es einen Bericht aus Australien, wonach 10 % der Kassen der größten Supermarktkette des Landes lahmgelegt waren, was zur Schließung von 14 bis 18 Geschäften führte.

Die Auswirkungen dieses Vorfalls waren damals so groß, dass sich alle wunderten: „Selbst Hacker, die sich auf die Entwicklung von Viren konzentrieren, können wahrscheinlich keine Malware produzieren, die so viele Maschinen schnell ‚ausschalten‘ kann, wie es McAfee heute tut.“

Im Folgenden wird der Vorfall vom SANS Internet Storm Center beschrieben:

„DAT“-Dateien der McAfee-Version 5958 verursachen eine große Anzahl von Problemen mit Windows XP SP3. Betroffene Systeme geraten in eine Neustartschleife und verlieren jegliche Netzwerkverbindung. Diese problematische DAT-Datei kann sowohl einzelne Arbeitsstationen als auch mit einer Domäne verbundene Arbeitsstationen infizieren. Die Verwendung von „ePolicyOrchestrator“ zur Aktualisierung von Virendefinitionsdateien scheint die Verbreitung dieser problematischen DAT-Datei zu beschleunigen. ePolicyOrchestrator wird normalerweise zum Aktualisieren von „DAT“-Dateien in Unternehmen verwendet, konnte die problematische Signatur jedoch nicht widerrufen, da die Netzwerkkonnektivität der betroffenen Systeme verloren ging.

Svchost.exe ist eine der wichtigsten Dateien im Windows-System. Sie hostet Dienste für fast alle Systemfunktionen. Ohne Svchost.exe kann Windows überhaupt nicht starten.

Obwohl zwischen den beiden Vorfällen 14 Jahre liegen, besteht bei ihnen das gleiche Rätsel: Wie ein solches Update aus dem Testlabor auf den Produktionsserver gelangte. Theoretisch sollten solche Probleme frühzeitig im Testprozess entdeckt und behoben werden.

Wer sind Sie?

George Kurtz wuchs in Parsippany-Troy Hills, New Jersey, auf und besuchte die Parsippany High School.

Kurtz sagte, er habe in der vierten Klasse angefangen, Videospiele auf einem Commodore-Computer zu programmieren. In der Highschool wurde eine frühe Online-Kommunikationsplattform – das Bulletin-Board-System – eingerichtet.

Er schloss sein Studium der Buchhaltung an der Seton Hall University ab.

Später gründete er Foundstone und fungierte als Chief Technology Officer von McAfee.

Derzeit ist George Kurtz CEO von CrowdStrike, einem Cybersicherheitsunternehmen, das gemeinsam mit Dmitri Alperovitch gegründet wurde.

Neben seinen geschäftlichen Erfolgen ist er auch Rennfahrer.

Price Waterhouse und Foundstone

Nach dem College begann Kurtz seine Karriere als Certified Public Accountant (CPA) bei Price Waterhouse.

1993 machte Price Waterhouse Kurtz zu einem der ersten Mitarbeiter seiner neu gegründeten Sicherheitsgruppe.

1999 verfasste er gemeinsam mit Stuart McClure und Joel Scambray „Hacking Exposed“, ein Netzwerksicherheitsbuch für Netzwerkadministratoren. Das Buch wurde mehr als 600.000 Mal verkauft und in mehr als 30 Sprachen übersetzt.

Später in diesem Jahr gründete er Foundstone, ein Cybersicherheitsunternehmen, das sich als eines der ersten Unternehmen auf Sicherheitsberatung spezialisierte. Foundstone ist auf Schwachstellenmanagement-Software und -Dienste spezialisiert und hat ein weithin anerkanntes Incident-Response-Unternehmen aufgebaut, zu dessen Kunden viele Fortune-100-Unternehmen zählen.

McAfee

McAfee erwarb Foundstone im August 2004 für 86 Millionen US-Dollar und Kurtz wurde Senior Vice President und General Manager für Risikomanagement bei McAfee. Während seiner Amtszeit half er bei der Entwicklung der Sicherheitsrisikomanagementstrategie des Unternehmens.

Im Oktober 2009 ernannte ihn McAfee zum Global Chief Technology Officer und Executive Vice President.

Mit der Zeit wurde Kurtz frustriert über die Langsamkeit bestehender Sicherheitstechnologien, weil er das Gefühl hatte, dass sie mit der Geschwindigkeit neuer Bedrohungen nicht Schritt halten konnten.

Eine der Inspirationen für die Entwicklung von CrowdStrike war, als er in einem Flugzeug einen Passagier neben sich sitzen sah, der 15 Minuten darauf wartete, dass die McAfee-Software auf seinen Laptop geladen wurde.

CrowdStrike

Im November 2011 wechselte Kurtz als „Entrepreneur-in-Residence“ zur Private-Equity-Firma Warburg Pincus und begann mit der Arbeit an seinem nächsten Projekt, CrowdStrike.

Im Februar 2012 schloss er sich mit dem ehemaligen Foundstone-CFO Gregg Marston und Dmitri Alperovitch zusammen, um CrowdStrike offiziell zu gründen.

CrowdStrike verlagert den Schwerpunkt von Anti-Malware- und Antiviren-Produkten (McAfees Ansatz zur Cybersicherheit) hin zur Identifizierung der Techniken, die Hacker verwenden, um eingehende Bedrohungen zu erkennen. Und entwickelte ein „Cloud-First“-Modell, um die Softwarelast auf den Computern der Kunden zu reduzieren.

Im Mai 2017 wurde CrowdStrike auf mehr als 1 Milliarde US-Dollar geschätzt. Im Jahr 2019 sammelte das Unternehmen bei seinem Börsengang an der Nasdaq 612 Millionen US-Dollar ein, was einem Wert von 6,6 Milliarden US-Dollar entspricht.

Im Juli 2020 wurde CrowdStrike in einem IDC-Bericht zum am schnellsten wachsenden Anbieter von Endpoint-Sicherheitssoftware gekürt.

Im Jahr 2024 bleibt Kurtz Präsident und CEO von CrowdStrike.

Tatsächlich ist die Welt nur eine riesige Basismannschaft.

Verweise:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/