Crowdstrike problemen zorgen wereldwijd voor storingen
-
- Administrator
- Berichten: 6410
- Lid geworden op: 17 mei 2006, 18:10
- Uitgedeelde bedankjes: 737 keer
- Bedankt: 474 keer
- Recent bedankt: 11 keer
Een slechte update van een Crowdstrike agentzorgt wereldwijd voor bluescreens op windows systemen
https://tweakers.net/nieuws/224544/crow ... temen.html
https://www.theverge.com/2024/7/19/2420 ... tage-issue
https://mashable.com/article/crowdstrik ... e-bsod-fix
https://www.theregister.com/2024/07/19/ ... _incident/
https://tweakers.net/nieuws/224544/crow ... temen.html
https://www.theverge.com/2024/7/19/2420 ... tage-issue
https://mashable.com/article/crowdstrik ... e-bsod-fix
https://www.theregister.com/2024/07/19/ ... _incident/
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
-
- Elite Poster
- Berichten: 870
- Lid geworden op: 01 aug 2019, 07:37
- Locatie: Antwerpen
- Uitgedeelde bedankjes: 58 keer
- Bedankt: 23 keer
voor alle zekerheid windows updates voor 7 dagen gepauzeerd gezet, thx
Windows Tablet
Windows 10 Home 64-bit ,
Intel Core m3 7Y30 @ 1.10GHz 47 °C
Kaby Lake-U/Y 14nm Technology
RAM
8.00GB Single-Channel DDR3 @ 931MHz (14-17-17-40)
238GB Netac SSD 256GB (SATA (SSD))
Motherboard
CHUWI Innovation And Technology(ShenZhen)co.Ltd UBook Pro
Windows 10 Home 64-bit ,
Intel Core m3 7Y30 @ 1.10GHz 47 °C
Kaby Lake-U/Y 14nm Technology
RAM
8.00GB Single-Channel DDR3 @ 931MHz (14-17-17-40)
238GB Netac SSD 256GB (SATA (SSD))
Motherboard
CHUWI Innovation And Technology(ShenZhen)co.Ltd UBook Pro
-
- Administrator
- Berichten: 6410
- Lid geworden op: 17 mei 2006, 18:10
- Uitgedeelde bedankjes: 737 keer
- Bedankt: 474 keer
- Recent bedankt: 11 keer
Heeft daar niks mee te maken. Als particulier is de kans klein dat je crowdstrike gebruikt.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
-
- Elite Poster
- Berichten: 839
- Lid geworden op: 28 sep 2003, 10:58
- Uitgedeelde bedankjes: 16 keer
- Bedankt: 37 keer
Blijkbaar moet je in veilige modus starten om een bepaald bestand te verwijderen en dan ben je verlost van de bootloop. Maar bedrijven hebben soms honderden tot duizenden laptops en pc's. Dan zwijg ik nog over de servers. Dit is toch de hel voor elke beheerder?
-
- Elite Poster
- Berichten: 8932
- Lid geworden op: 20 jun 2016, 16:36
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 465 keer
- Recent bedankt: 7 keer
Schiphol en Zurich gesloten
Barcelona, Alicante, Ibiza, Mahon, Palma allemaal grote vertragingen.
Ongelofelijk toch dat zo'n grote luchthavens een single point of failure hebben
Maar: geen Windows gebruiken (sowieso niet voor kritische toepassingen, is goed gek) en dan had je ook dit weer vermeden, zoals zo vaak.
Barcelona, Alicante, Ibiza, Mahon, Palma allemaal grote vertragingen.
Ongelofelijk toch dat zo'n grote luchthavens een single point of failure hebben
Ben benieuwd naar de aansprakelijkheid en hoeveel Crowdstrike zal mogen betalen.
Maar: geen Windows gebruiken (sowieso niet voor kritische toepassingen, is goed gek) en dan had je ook dit weer vermeden, zoals zo vaak.
Laatst gewijzigd door CCatalyst 2 maanden geleden, in totaal 1 gewijzigd.
-
- Administrator
- Berichten: 6410
- Lid geworden op: 17 mei 2006, 18:10
- Uitgedeelde bedankjes: 737 keer
- Bedankt: 474 keer
- Recent bedankt: 11 keer
Ook zijn corporate devices vaak bitlocker encrypted, en moet je de unlock key hebben om een toestel in safe mode te booten. En is die key uniek per toestel.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
-
- Elite Poster
- Berichten: 8932
- Lid geworden op: 20 jun 2016, 16:36
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 465 keer
- Recent bedankt: 7 keer
Ik snap niet hoe het mogelijk is, dat een verkeerde update een massa systemen plat kan leggen.
Ik snap wel hoe het kan natuurlijk. Alleen niet hoe het mogelijk is, dat de safeguards (die er hopelijk zijn) dit niet konden voorkomen.
Ik snap wel hoe het kan natuurlijk. Alleen niet hoe het mogelijk is, dat de safeguards (die er hopelijk zijn) dit niet konden voorkomen.
-
- Elite Poster
- Berichten: 6424
- Lid geworden op: 01 feb 2006, 11:36
- Uitgedeelde bedankjes: 1009 keer
- Bedankt: 348 keer
- Recent bedankt: 1 keer
Toeme, mijne corporate laptop start normaal op, dus geen dagske verlof .
More seriously, blij dat ik niet getroffen lijk, of ik ging 100km naar kantoor mogen bollen. Ondertussen wel op mijn privé coordinaten emergency mails van werkgever gekregen met mogelijke impacts (waaronder dus corp laptops).
More seriously, blij dat ik niet getroffen lijk, of ik ging 100km naar kantoor mogen bollen. Ondertussen wel op mijn privé coordinaten emergency mails van werkgever gekregen met mogelijke impacts (waaronder dus corp laptops).
-
- userbase crew
- Berichten: 9178
- Lid geworden op: 28 jan 2012, 17:22
- Uitgedeelde bedankjes: 187 keer
- Bedankt: 628 keer
- Recent bedankt: 1 keer
Twee lessen hier:
1) Nooit direct nieuwe updates pushen; let someone else go first
2) Read-only fridays zijn een ding voor een reden
Dat gezegd: veel bedrijven moeten dit nu manueel fixen.
Eentje is alvast begonnen met een script te pushen via user GPO, maar... ze moeten in safe boot ook nog manueel de bitlocker key ingeven, dus het uit de handen geven aan lvl-0 helpdesk is geen optie; lang weekend
1) Nooit direct nieuwe updates pushen; let someone else go first
2) Read-only fridays zijn een ding voor een reden
Dat gezegd: veel bedrijven moeten dit nu manueel fixen.
Eentje is alvast begonnen met een script te pushen via user GPO, maar... ze moeten in safe boot ook nog manueel de bitlocker key ingeven, dus het uit de handen geven aan lvl-0 helpdesk is geen optie; lang weekend
-
- Pro Member
- Berichten: 316
- Lid geworden op: 09 feb 2011, 19:16
- Locatie: Sint-Truiden
- Uitgedeelde bedankjes: 12 keer
- Bedankt: 21 keer
Enkel Windows PC's (Win10/11) die gebruik maken van CrowdStrike software hebben problemen (slechte update/patch van hun). Gelukkig gebruik ik die dure software niet op mijn werk.
Wat mij dan weer nu opvalt is dat veel infoborden in luchthavens, ziekenhuizen etc allemaal op windows draait.
Bewuste keuze voor windows om beter managementbeheer te doen of dat hun IT nog nooit gehoord heeft van Linux?
Veel van die borden draaien gewoon een browser.
Wat mij dan weer nu opvalt is dat veel infoborden in luchthavens, ziekenhuizen etc allemaal op windows draait.
Bewuste keuze voor windows om beter managementbeheer te doen of dat hun IT nog nooit gehoord heeft van Linux?
Veel van die borden draaien gewoon een browser.
-
- Administrator
- Berichten: 6410
- Lid geworden op: 17 mei 2006, 18:10
- Uitgedeelde bedankjes: 737 keer
- Bedankt: 474 keer
- Recent bedankt: 11 keer
In 99% vd gevallen zal de keuze gemaakt zijn om beheersredenen: voor Windows heb je nu eenmaal een ganse toolsuite voor remote beheer, automatisch aansturen van die zaken, die je voor Linux minder hebt. Dan heb ik het niet puur over het OS, maar de software die ze gebruiken om er een display van te maken.guntherstassen schreef: ↑2 maanden geleden Wat mij dan weer nu opvalt is dat veel infoborden in luchthavens, ziekenhuizen etc allemaal op windows draait.
Bewuste keuze voor windows om beter managementbeheer te doen of dat hun IT nog nooit gehoord heeft van Linux?
Veel van die borden draaien gewoon een browser.
Kan alles op Linux? Sure, 100% zeker! Maar vaak meer werk (al hebben ze nu wel meer werk met Windows )
Crowdstrike update vaak/altijd(?) automatisch. Dat is nu eenmaal het verkoopsargument: je bent *direct* beschermd tegen nieuwe threats.ITnetadmin schreef: ↑2 maanden geleden 1) Nooit direct nieuwe updates pushen; let someone else go first
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
-
- Premium Member
- Berichten: 600
- Lid geworden op: 13 mei 2004, 22:16
- Uitgedeelde bedankjes: 18 keer
- Bedankt: 30 keer
Hmm hoe ik het gelezen heb heeft een admin geen manier om de crowdstrike patching tegen te houden. Computers hebben dit probleem maar ook windows servers met crowdstrike tooling. Het lijkt mij geen specifiek azure probleem maar wel services die plat gaan door de slechte update.
-
- Administrator
- Berichten: 16751
- Lid geworden op: 18 feb 2003, 21:02
- Twitter: meon
- Locatie: Bree
- Uitgedeelde bedankjes: 472 keer
- Bedankt: 661 keer
- Recent bedankt: 4 keer
Het probleem is niet Windows, maar de Windows-versie van Falcon. Als het nu de Linux-versie van Falcon was geweest zaten we potentieel nu met miljoenen kernel panics.
Dat het zo'n gigantische impact heeft geeft maar aan hoeveel systemen Windows draaien én geeft inzicht in de afzetmarkt van Crowdstrike...
-
- userbase crew
- Berichten: 9178
- Lid geworden op: 28 jan 2012, 17:22
- Uitgedeelde bedankjes: 187 keer
- Bedankt: 628 keer
- Recent bedankt: 1 keer
(Geen betere link momenteel, dus kan breken)Former Crowdstrike employee, fired for an unfair reason, only changed 1 line of code to optimize. Looking for a job as Sysadmin
-
- Elite Poster
- Berichten: 1629
- Lid geworden op: 22 mei 2013, 07:04
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 108 keer
- Recent bedankt: 1 keer
Gezien de impact van de outage zou ik bijna zeggen: twee dagen met lagere impact om het probleem op te lossen...Avenger 2.0 schreef: ↑2 maanden geleden Toch algemeen geweten dat je op vrijdag geen kritieke updates doet Zullen veel ITers een weekendje bezig zijn nu
-
- Administrator
- Berichten: 6410
- Lid geworden op: 17 mei 2006, 18:10
- Uitgedeelde bedankjes: 737 keer
- Bedankt: 474 keer
- Recent bedankt: 11 keer
Hangt er vanaf.... Voor luchthavens, winkels, banken... Is het weekend vaak drukker.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
-
- userbase crew
- Berichten: 9178
- Lid geworden op: 28 jan 2012, 17:22
- Uitgedeelde bedankjes: 187 keer
- Bedankt: 628 keer
- Recent bedankt: 1 keer
Dat is dan ook de reden waarom ik fervent voorstander ben van on-premise server-client infrastructure, waarbij je de server kan configgen wanneer hij updates stuurt, en naar welke toestellen.
Zo kan je zulke updates stagen in stapjes, om een totale blackout te vermijden.
En bij non-critical updates gewoon wachten tot de volgende week, ipv read-only friday regels te breken.
Dit soort cloud services hebben het wel makkelijk: zij gaan bepalen wanneer jij updates moet doen, en als het breekt kan jij de brokken lijmen en zij zijn beschermd door een metersdik contract.
Zo kan je zulke updates stagen in stapjes, om een totale blackout te vermijden.
En bij non-critical updates gewoon wachten tot de volgende week, ipv read-only friday regels te breken.
Dit soort cloud services hebben het wel makkelijk: zij gaan bepalen wanneer jij updates moet doen, en als het breekt kan jij de brokken lijmen en zij zijn beschermd door een metersdik contract.
-
- Member
- Berichten: 78
- Lid geworden op: 26 jan 2003, 15:37
- Locatie: /dev/null
- Uitgedeelde bedankjes: 1 keer
Kleine opmerking / meer toelichting: Het probleem ligt niet direct aan een CrowdStrike update itself maar aan een anti-malware definition/detection rules update. Er is daar een update misgelopen. Die definitions worden meerdere keren per dag automatisch upgedate. Kan idd niet worden geconfigueerd zoals hierboven al werd aangehaald.
We draaien CrowdStrike maar een deel van ons IT landscape met met de laatste versie en een deel met een n-1 config, wilt zeggen dat wij niet de laatste CrowdStrike versie draaien maar op 1 na laatste. Ironisch genoeg om dit soort problemen tegen te gaan.
De definition update wordt gepusht naar iedere versie (dus ook een n-1 of n-2 update). Dus ook hier crashende pc's & servers.
Dit gezegd zijnde: hoe dit door CrowdStrike Q&A geraakt is, is mij een raadsel...
CS heeft intussen een "technische uitleg" gegeven zonder iets van technische update te geven: https://www.crowdstrike.com/blog/techni ... ys-outage/
Er wordt intussen gespeculeerd op een unsafe NULL exception/pointer:
https://threadreaderapp.com/thread/1814 ... 54753.html
ironisch genoeg had Mercedes moeilijkheden om hun F1 wagen te starten door hun sponsor .... CrowdStrike
https://www.thedrive.com/news/crowdstri ... s-of-death
We draaien CrowdStrike maar een deel van ons IT landscape met met de laatste versie en een deel met een n-1 config, wilt zeggen dat wij niet de laatste CrowdStrike versie draaien maar op 1 na laatste. Ironisch genoeg om dit soort problemen tegen te gaan.
De definition update wordt gepusht naar iedere versie (dus ook een n-1 of n-2 update). Dus ook hier crashende pc's & servers.
Dit gezegd zijnde: hoe dit door CrowdStrike Q&A geraakt is, is mij een raadsel...
CS heeft intussen een "technische uitleg" gegeven zonder iets van technische update te geven: https://www.crowdstrike.com/blog/techni ... ys-outage/
Er wordt intussen gespeculeerd op een unsafe NULL exception/pointer:
https://threadreaderapp.com/thread/1814 ... 54753.html
ironisch genoeg had Mercedes moeilijkheden om hun F1 wagen te starten door hun sponsor .... CrowdStrike
https://www.thedrive.com/news/crowdstri ... s-of-death
-
- Elite Poster
- Berichten: 766
- Lid geworden op: 21 mei 2020, 12:39
- Locatie: Spalbeek (Hasselt)
- Uitgedeelde bedankjes: 1 keer
- Bedankt: 81 keer
Bij ons op het werk kon gisteren iedereen gewoon werken op hun pc en ook op de server. Ons bedrijf is begonnen met eurosys als it support en zij werken met een programma dat updates pas laat doorkomen en uitvoeren als ze veilig zijn en geen pc's doen crashen.
-
- userbase crew
- Berichten: 5579
- Lid geworden op: 13 aug 2003, 18:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 214 keer
- Bedankt: 424 keer
- Recent bedankt: 3 keer
EuroSys/VanRoey (of eender welke andere MSP) kan/kon deze update niet tegenhouden, daarom ook de hele heisa er rond. Dit is een security systeem waarbij de security updates niet (meer) gebonden zijn aan de versie van de Agent die geinstalleerd is. Qua beveiliging heeft dit enorm veel voordelen, afgelopen vrijdag heeft men de nadelen ondervonden.Data technicus schreef: ↑2 maanden geleden Bij ons op het werk kon gisteren iedereen gewoon werken op hun pc en ook op de server. Ons bedrijf is begonnen met eurosys als it support en zij werken met een programma dat updates pas laat doorkomen en uitvoeren als ze veilig zijn en geen pc's doen crashen.
Dus zoals al eerder aangehaald in deze thread .. dit kan je niet vergelijken met Windows Updates waarbij je kan instellen dat je altijd enkele dagen (of maanden) delay aangeeft voor updates. Wat EuroSys/VanRoey doet, is trouwens iets dat alle MSP's doen, net om zulke zaken zoals nu gebeurd tegen te houden ... maar ALS je crowdstrike als Endpoint Protection had, dan was je eraan voor de moeite hoor. (EuroSys/VanRoey gebruikt normaal SentinelOne voor zover ik weet ... zelfde principe als CrowdStrike maar dan 'iets' minder bekend én met een serieuze quality control ).
-
- Elite Poster
- Berichten: 6548
- Lid geworden op: 22 feb 2005, 11:46
- Uitgedeelde bedankjes: 341 keer
- Bedankt: 452 keer
- Recent bedankt: 3 keer
Kwa bekendheid kan nu niemand Crowdstrike nog kloppen denk ik...
J.
J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...
-
- userbase crew
- Berichten: 9178
- Lid geworden op: 28 jan 2012, 17:22
- Uitgedeelde bedankjes: 187 keer
- Bedankt: 628 keer
- Recent bedankt: 1 keer
Marketing: "We need more brand recognition."Joe de Mannen schreef: ↑2 maanden geleden Kwa bekendheid kan nu niemand Crowdstrike nog kloppen denk ik...
Dev: "Hold my beer."