Crowdstrike problemen zorgen wereldwijd voor storingen

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6410
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 737 keer
Bedankt: 474 keer
Recent bedankt: 11 keer

Bericht

Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Gebruikersavatar
Matt555
Elite Poster
Elite Poster
Berichten: 870
Lid geworden op: 01 aug 2019, 07:37
Locatie: Antwerpen
Uitgedeelde bedankjes: 58 keer
Bedankt: 23 keer

Bericht

voor alle zekerheid windows updates voor 7 dagen gepauzeerd gezet, thx
Windows Tablet
Windows 10 Home 64-bit ,
Intel Core m3 7Y30 @ 1.10GHz 47 °C
Kaby Lake-U/Y 14nm Technology
RAM
8.00GB Single-Channel DDR3 @ 931MHz (14-17-17-40)
238GB Netac SSD 256GB (SATA (SSD))
Motherboard
CHUWI Innovation And Technology(ShenZhen)co.Ltd UBook Pro
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6410
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 737 keer
Bedankt: 474 keer
Recent bedankt: 11 keer

Bericht

Heeft daar niks mee te maken. Als particulier is de kans klein dat je crowdstrike gebruikt.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Pengu
Elite Poster
Elite Poster
Berichten: 839
Lid geworden op: 28 sep 2003, 10:58
Uitgedeelde bedankjes: 16 keer
Bedankt: 37 keer

Bericht

Blijkbaar moet je in veilige modus starten om een bepaald bestand te verwijderen en dan ben je verlost van de bootloop. Maar bedrijven hebben soms honderden tot duizenden laptops en pc's. Dan zwijg ik nog over de servers. Dit is toch de hel voor elke beheerder?
CCatalyst
Elite Poster
Elite Poster
Berichten: 8932
Lid geworden op: 20 jun 2016, 16:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 465 keer
Recent bedankt: 7 keer

Bericht

Schiphol en Zurich gesloten :eek:

Barcelona, Alicante, Ibiza, Mahon, Palma allemaal grote vertragingen.

Ongelofelijk toch dat zo'n grote luchthavens een single point of failure hebben :roll:
Pengu schreef: 2 maanden geleden Dit is toch de hel voor elke beheerder?
Ben benieuwd naar de aansprakelijkheid en hoeveel Crowdstrike zal mogen betalen.

Maar: geen Windows gebruiken (sowieso niet voor kritische toepassingen, is goed gek) en dan had je ook dit weer vermeden, zoals zo vaak.
Laatst gewijzigd door CCatalyst 2 maanden geleden, in totaal 1 gewijzigd.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6410
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 737 keer
Bedankt: 474 keer
Recent bedankt: 11 keer

Bericht

Ook zijn corporate devices vaak bitlocker encrypted, en moet je de unlock key hebben om een toestel in safe mode te booten. En is die key uniek per toestel.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
CCatalyst
Elite Poster
Elite Poster
Berichten: 8932
Lid geworden op: 20 jun 2016, 16:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 465 keer
Recent bedankt: 7 keer

Bericht

Ik snap niet hoe het mogelijk is, dat een verkeerde update een massa systemen plat kan leggen.

Ik snap wel hoe het kan natuurlijk. Alleen niet hoe het mogelijk is, dat de safeguards (die er hopelijk zijn) dit niet konden voorkomen.
Tomby
Elite Poster
Elite Poster
Berichten: 6424
Lid geworden op: 01 feb 2006, 11:36
Uitgedeelde bedankjes: 1009 keer
Bedankt: 348 keer
Recent bedankt: 1 keer

Bericht

Toeme, mijne corporate laptop start normaal op, dus geen dagske verlof :).
More seriously, blij dat ik niet getroffen lijk, of ik ging 100km naar kantoor mogen bollen. Ondertussen wel op mijn privé coordinaten emergency mails van werkgever gekregen met mogelijke impacts (waaronder dus corp laptops).
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14629
Lid geworden op: 14 nov 2006, 15:21
Locatie: Brussel
Uitgedeelde bedankjes: 1428 keer
Bedankt: 1158 keer
Recent bedankt: 8 keer

Bericht

Meerdere cloud services liggen ook plat.
Gebruikersavatar
Dizzy
Elite Poster
Elite Poster
Berichten: 10820
Lid geworden op: 06 dec 2009, 12:28
Locatie: Hier ter plaatse
Uitgedeelde bedankjes: 291 keer
Bedankt: 492 keer

Bericht

Met de cloud zijt ge altijd geclood :)
Wil je iemand kwaad maken, vertel hem dan leugens. Wil je iemand razend maken, vertel hem dan de waarheid.
Avenger 2.0
Elite Poster
Elite Poster
Berichten: 1715
Lid geworden op: 13 okt 2005, 18:50
Uitgedeelde bedankjes: 10 keer
Bedankt: 56 keer
Recent bedankt: 4 keer

Bericht

Toch algemeen geweten dat je op vrijdag geen kritieke updates doet :roll: Zullen veel ITers een weekendje bezig zijn nu :bang:
ITnetadmin
userbase crew
userbase crew
Berichten: 9178
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 187 keer
Bedankt: 628 keer
Recent bedankt: 1 keer

Bericht

Twee lessen hier:

1) Nooit direct nieuwe updates pushen; let someone else go first ;-)
2) Read-only fridays zijn een ding voor een reden :-)


Dat gezegd: veel bedrijven moeten dit nu manueel fixen.
Eentje is alvast begonnen met een script te pushen via user GPO, maar... ze moeten in safe boot ook nog manueel de bitlocker key ingeven, dus het uit de handen geven aan lvl-0 helpdesk is geen optie; lang weekend :-)
Gebruikersavatar
guntherstassen
Pro Member
Pro Member
Berichten: 316
Lid geworden op: 09 feb 2011, 19:16
Locatie: Sint-Truiden
Uitgedeelde bedankjes: 12 keer
Bedankt: 21 keer

Bericht

Enkel Windows PC's (Win10/11) die gebruik maken van CrowdStrike software hebben problemen (slechte update/patch van hun). Gelukkig gebruik ik die dure software niet op mijn werk.

Wat mij dan weer nu opvalt is dat veel infoborden in luchthavens, ziekenhuizen etc allemaal op windows draait.
Bewuste keuze voor windows om beter managementbeheer te doen of dat hun IT nog nooit gehoord heeft van Linux?
Veel van die borden draaien gewoon een browser.
Gebruikersavatar
Petrikske
Elite Poster
Elite Poster
Berichten: 3787
Lid geworden op: 07 feb 2006, 12:54
Uitgedeelde bedankjes: 467 keer
Bedankt: 56 keer
Recent bedankt: 2 keer

Bericht

Matt555 schreef: 2 maanden geleden voor alle zekerheid windows updates voor 7 dagen gepauzeerd gezet, thx
Software is zo prijzig dat zelfs veel bedrijven het niet gebruiken, particulieren zullen dus wel safe zitten veronderstel ik. :wink:
je répète.. Jean a de longues moustaches
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6410
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 737 keer
Bedankt: 474 keer
Recent bedankt: 11 keer

Bericht

guntherstassen schreef: 2 maanden geleden Wat mij dan weer nu opvalt is dat veel infoborden in luchthavens, ziekenhuizen etc allemaal op windows draait.
Bewuste keuze voor windows om beter managementbeheer te doen of dat hun IT nog nooit gehoord heeft van Linux?
Veel van die borden draaien gewoon een browser.
In 99% vd gevallen zal de keuze gemaakt zijn om beheersredenen: voor Windows heb je nu eenmaal een ganse toolsuite voor remote beheer, automatisch aansturen van die zaken, die je voor Linux minder hebt. Dan heb ik het niet puur over het OS, maar de software die ze gebruiken om er een display van te maken.

Kan alles op Linux? Sure, 100% zeker! Maar vaak meer werk (al hebben ze nu wel meer werk met Windows :P)
ITnetadmin schreef: 2 maanden geleden 1) Nooit direct nieuwe updates pushen; let someone else go first ;-)
Crowdstrike update vaak/altijd(?) automatisch. Dat is nu eenmaal het verkoopsargument: je bent *direct* beschermd tegen nieuwe threats.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
yaris
Premium Member
Premium Member
Berichten: 600
Lid geworden op: 13 mei 2004, 22:16
Uitgedeelde bedankjes: 18 keer
Bedankt: 30 keer

Bericht

Hmm hoe ik het gelezen heb heeft een admin geen manier om de crowdstrike patching tegen te houden. Computers hebben dit probleem maar ook windows servers met crowdstrike tooling. Het lijkt mij geen specifiek azure probleem maar wel services die plat gaan door de slechte update.
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16751
Lid geworden op: 18 feb 2003, 21:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 472 keer
Bedankt: 661 keer
Recent bedankt: 4 keer

Bericht

CCatalyst schreef: 2 maanden geleden Maar: geen Windows gebruiken (sowieso niet voor kritische toepassingen, is goed gek) en dan had je ook dit weer vermeden, zoals zo vaak.
Het probleem is niet Windows, maar de Windows-versie van Falcon. Als het nu de Linux-versie van Falcon was geweest zaten we potentieel nu met miljoenen kernel panics.
Dat het zo'n gigantische impact heeft geeft maar aan hoeveel systemen Windows draaien én geeft inzicht in de afzetmarkt van Crowdstrike...
ITnetadmin
userbase crew
userbase crew
Berichten: 9178
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 187 keer
Bedankt: 628 keer
Recent bedankt: 1 keer

Bericht

Afbeelding
Former Crowdstrike employee, fired for an unfair reason, only changed 1 line of code to optimize. Looking for a job as Sysadmin
(Geen betere link momenteel, dus kan breken)
SpecialK
Elite Poster
Elite Poster
Berichten: 1629
Lid geworden op: 22 mei 2013, 07:04
Uitgedeelde bedankjes: 3 keer
Bedankt: 108 keer
Recent bedankt: 1 keer

Bericht

Avenger 2.0 schreef: 2 maanden geleden Toch algemeen geweten dat je op vrijdag geen kritieke updates doet :roll: Zullen veel ITers een weekendje bezig zijn nu :bang:
Gezien de impact van de outage zou ik bijna zeggen: twee dagen met lagere impact om het probleem op te lossen...
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6410
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 737 keer
Bedankt: 474 keer
Recent bedankt: 11 keer

Bericht

Hangt er vanaf.... Voor luchthavens, winkels, banken... Is het weekend vaak drukker.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
ITnetadmin
userbase crew
userbase crew
Berichten: 9178
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 187 keer
Bedankt: 628 keer
Recent bedankt: 1 keer

Bericht

Dat is dan ook de reden waarom ik fervent voorstander ben van on-premise server-client infrastructure, waarbij je de server kan configgen wanneer hij updates stuurt, en naar welke toestellen.

Zo kan je zulke updates stagen in stapjes, om een totale blackout te vermijden.
En bij non-critical updates gewoon wachten tot de volgende week, ipv read-only friday regels te breken.

Dit soort cloud services hebben het wel makkelijk: zij gaan bepalen wanneer jij updates moet doen, en als het breekt kan jij de brokken lijmen en zij zijn beschermd door een metersdik contract.
Software
Member
Member
Berichten: 78
Lid geworden op: 26 jan 2003, 15:37
Locatie: /dev/null
Uitgedeelde bedankjes: 1 keer

Bericht

Kleine opmerking / meer toelichting: Het probleem ligt niet direct aan een CrowdStrike update itself maar aan een anti-malware definition/detection rules update. Er is daar een update misgelopen. Die definitions worden meerdere keren per dag automatisch upgedate. Kan idd niet worden geconfigueerd zoals hierboven al werd aangehaald.
We draaien CrowdStrike maar een deel van ons IT landscape met met de laatste versie en een deel met een n-1 config, wilt zeggen dat wij niet de laatste CrowdStrike versie draaien maar op 1 na laatste. Ironisch genoeg om dit soort problemen tegen te gaan.
De definition update wordt gepusht naar iedere versie (dus ook een n-1 of n-2 update). Dus ook hier crashende pc's & servers.

Dit gezegd zijnde: hoe dit door CrowdStrike Q&A geraakt is, is mij een raadsel...

CS heeft intussen een "technische uitleg" gegeven zonder iets van technische update te geven: https://www.crowdstrike.com/blog/techni ... ys-outage/
Er wordt intussen gespeculeerd op een unsafe NULL exception/pointer:
https://threadreaderapp.com/thread/1814 ... 54753.html

ironisch genoeg had Mercedes moeilijkheden om hun F1 wagen te starten door hun sponsor .... CrowdStrike
https://www.thedrive.com/news/crowdstri ... s-of-death
Gebruikersavatar
Data technicus
Elite Poster
Elite Poster
Berichten: 766
Lid geworden op: 21 mei 2020, 12:39
Locatie: Spalbeek (Hasselt)
Uitgedeelde bedankjes: 1 keer
Bedankt: 81 keer

Bericht

Bij ons op het werk kon gisteren iedereen gewoon werken op hun pc en ook op de server. Ons bedrijf is begonnen met eurosys als it support en zij werken met een programma dat updates pas laat doorkomen en uitvoeren als ze veilig zijn en geen pc's doen crashen.
ITnetadmin
userbase crew
userbase crew
Berichten: 9178
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 187 keer
Bedankt: 628 keer
Recent bedankt: 1 keer

Bericht

Toestellen die niet online waren tussen 0409UTC en 0527UTC zijn eraan ontsnapt, dus dat helpt wel voor vele clients/workstations in Europa.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5579
Lid geworden op: 13 aug 2003, 18:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 214 keer
Bedankt: 424 keer
Recent bedankt: 3 keer

Bericht

Data technicus schreef: 2 maanden geleden Bij ons op het werk kon gisteren iedereen gewoon werken op hun pc en ook op de server. Ons bedrijf is begonnen met eurosys als it support en zij werken met een programma dat updates pas laat doorkomen en uitvoeren als ze veilig zijn en geen pc's doen crashen.
EuroSys/VanRoey (of eender welke andere MSP) kan/kon deze update niet tegenhouden, daarom ook de hele heisa er rond. Dit is een security systeem waarbij de security updates niet (meer) gebonden zijn aan de versie van de Agent die geinstalleerd is. Qua beveiliging heeft dit enorm veel voordelen, afgelopen vrijdag heeft men de nadelen ondervonden.

Dus zoals al eerder aangehaald in deze thread .. dit kan je niet vergelijken met Windows Updates waarbij je kan instellen dat je altijd enkele dagen (of maanden) delay aangeeft voor updates. Wat EuroSys/VanRoey doet, is trouwens iets dat alle MSP's doen, net om zulke zaken zoals nu gebeurd tegen te houden ... maar ALS je crowdstrike als Endpoint Protection had, dan was je eraan voor de moeite hoor. (EuroSys/VanRoey gebruikt normaal SentinelOne voor zover ik weet ... zelfde principe als CrowdStrike maar dan 'iets' minder bekend én met een serieuze quality control :-) ).
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 6548
Lid geworden op: 22 feb 2005, 11:46
Uitgedeelde bedankjes: 341 keer
Bedankt: 452 keer
Recent bedankt: 3 keer

Bericht

Kwa bekendheid kan nu niemand Crowdstrike nog kloppen denk ik...
J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...
ITnetadmin
userbase crew
userbase crew
Berichten: 9178
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 187 keer
Bedankt: 628 keer
Recent bedankt: 1 keer

Bericht

Joe de Mannen schreef: 2 maanden geleden Kwa bekendheid kan nu niemand Crowdstrike nog kloppen denk ik...
Marketing: "We need more brand recognition."
Dev: "Hold my beer."
;-)