image

Microsoft lanceert tool voor oplossen CrowdStrike-probleem Windowssystemen

zondag 21 juli 2024, 21:22 door Redactie, 21 reacties

Microsoft heeft een usb-tool gelanceerd die organisaties moet helpen bij het herstellen van computers die door een update voor de beveiligingssoftware van securitybedrijf CrowdStrike niet meer werken. Het gaat zowel om systemen met als zonder BitLocker die via de tool te repareren zijn. Microsoft liet eerder al weten dat het CrowdStrike-probleem zo'n 8,5 miljoen computers heeft geraakt.

CrowdStrike heeft inmiddels ook allerlei handleidingen gepubliceerd die organisaties moeten helpen bij het herstel. Volgens Microsoft voert de usb-tool de door CrowdStrike aanbevolen herstelscripts uit. In het geval het gaat om een via BitLocker versleuteld systeem moet de gebruiker eerst zijn BitLocker recovery key opgeven.

Reacties (21)
21-07-2024, 21:32 door Anoniem
In het geval het gaat om een via BitLocker versleuteld systeem moet de gebruiker eerst zijn BitLocker recovery key opgeven.
En nu maar hopen dat deze recovery key niet in het bakje 'Vergeten Wachtwoorden' ligt.
21-07-2024, 22:07 door Anoniem
Microsoft heeft mede bijgedragen aan de rotzooi door recovery een stuk moeilijker te maken dan nodig sinds Windows 10. Vroeger (met F8/Shift-F8) was het eenvoudiger en werd er niet vertrouwd op kennis die de beheerder maar moest hebben. Zo wordt er vaak vanuit gegaan dat Windows het nog doet en dat je een reboot met een andere instelling kan uitvoeren. Tja, dan heb je als software architect niet begrepen wanneer je recovery nodig hebt.
22-07-2024, 08:05 door AX0 bv
Dit hele crowdstrike/microsoft saga, is een falen van de bovenste plank. Het geeft een inkijk in de huidige generatie en stand van zaken, kwalitatief, in de wereld van automatisering.

Momenteel heeft meer dan 85% van de automatiseerder geen enkel idee (meer) van de essentie van automatiseren, en blijken zij alleen nog maar een 'trucje' te beheersen. Tegelijkertijd zie je dat er van gezond nadenken en communicatiue steeds minder sprake is.

"Elk denkbaar aspect, facet, in en met digitaal automatiseren, is 100% voorspelbaar, manipuleerbaar, voor elke betrokkene..."

Het niet beheersen van deze essentie, ook binnen boardroom en management, is uiteindelijk, eveneens 100% voorspelbaar, wachten op het volgende grootschalig IT gebeuren. Bedenk je even wat de schade is die dit incident wereldwijd heeft veroorzaakt. Daar kan geen 'I'm Sorry'.... tegenop....
22-07-2024, 08:29 door Anoniem
Nou nou lekker makkelijk voor de leeken ..deze mensen worden op kosten gejaagd...je moet een hele toer maken om je Windows
weer aan het werk te krijgen...bedankt crowdstrike...je moet ze wel voor de kosten op laten draaien..zou ik doen...
22-07-2024, 09:44 door Anoniem
Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?
22-07-2024, 10:01 door Anoniem
Door Anoniem: Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?

CrowdStrike is een Antivirus (antimalware) product. Dus dit zou via een eigen updateserver uitgerold zijn met een eigen update proces buiten Windows update om. Microsoft heeft -zover ik de artikelen heb begrepen- geen invloed op deze bug.

Windows update controleert namelijk maar eens in de zoveel tijd op updates en is daar niet voor bedoeld.
Antimalware controleert om de bijv. 15 min op updates.
22-07-2024, 10:07 door Anoniem
Voor de klagers over bitlocker: dat is absoluut nodig om de data op de pc veilig te houden.
Dit is GEEN Microsoft probleem, Crowdstrike heeft dit gedaan.

En ja, elke software bouwr kan zo'n fout maken, als ze niet goed opletten.
22-07-2024, 10:15 door Anoniem
Door Anoniem: Microsoft heeft mede bijgedragen aan de rotzooi door recovery een stuk moeilijker te maken dan nodig sinds Windows 10. Vroeger (met F8/Shift-F8) was het eenvoudiger en werd er niet vertrouwd op kennis die de beheerder maar moest hebben. Zo wordt er vaak vanuit gegaan dat Windows het nog doet en dat je een reboot met een andere instelling kan uitvoeren. Tja, dan heb je als software architect niet begrepen wanneer je recovery nodig hebt.
\
Waarom?

Wil jij eenvoudig toegang verlenen met lees/schrijf rechten op een disk?
Ik denk dat JIJ juist niet niets begrepen hebt van security of architectuur.

Door Anoniem: Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?
Wat denk je zelf? Dit zou je toch gemakkelijk even zelf kunnen uitzoeken?

Maar dit loopt niet via Windows update, maar via eigen crowdstrike infrastructuur.
22-07-2024, 10:32 door Anoniem
Door Anoniem: Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?
Crowdstrike updates komen nooit binnen via Windows Updates. Het kan wel voorkomen dat 3rd party driver packages geinstalleerd worden via Windows Updates, maar dit staat standaard uit.
22-07-2024, 10:54 door Anoniem
Door Anoniem: Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?
Crowdstrike is 3e partij software die op het hoogste authorisatienivo draait en zichzelf kan updaten. Lekker handig. (not)
22-07-2024, 10:55 door Anoniem
Door Anoniem: Nou nou lekker makkelijk voor de leeken ..deze mensen worden op kosten gejaagd...je moet een hele toer maken om je Windows
weer aan het werk te krijgen...bedankt crowdstrike...je moet ze wel voor de kosten op laten draaien..zou ik doen...

In dit geval (Crowdstrike) gaat het niet om leken die hun computertje niet meer aan het werk kunnen krijgen.
Het zijn stuk voor stuk computers van grote bedrijven die zich hebben laten omlullen tot het aanschaffen van Crowdstrike, net zoals je jou als je je computer koopt proberen McAfee of Kaspersky te verkopen.
Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?
Een eigen updater. Zoals bij alle antivirus producten behalve die van Microsoft zelf.
22-07-2024, 11:08 door Anoniem
Dit is natuurlijk ook een gevolg van het mooie Agile werken... Je ziet steeds vaker dat dit als excuus wordt gebruikt om onvolledige producten te lanceren. Je ziet het in games, apps en nu ook hier: niet goed doordachte en geteste (meestal vanwege de afwezigheid van een degelijke OTA), allemaal met als doel maximaal en zo vroeg mogelijk te kunnen cashen. Echte kennis en vakmanschap gaat zo langzaam verloren en dat is jammer. Dit is de digitale "industrie revolutie"; automatiseren is mooi en veel mogelijkheden om sneller en goedkoper te ontwikkelen, maar de randvoorwaarden van kwaliteit blijven helaas vaak achter.
22-07-2024, 11:08 door Anoniem
Door Anoniem: Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?
Het is een SAAS oplossing. Updates komen rechtstreeks van de leverancier. Zij bepalen, JIj bent niet meer in control! want je dacht geld te besparen door eigen IT personeel de deur uit te doen.
22-07-2024, 11:12 door Anoniem
Door Anoniem: Weet iemand of die crowdstrike update gedaan is via windows update of een eigen updater?
Eigen update
22-07-2024, 12:29 door Anoniem
Iets met goed door testen van een update en/of gefaseerd uitrollen kenden ze daar nog niet denk ik...
22-07-2024, 12:57 door Anoniem
Door Anoniem: Voor de klagers over bitlocker: dat is absoluut nodig om de data op de pc veilig te houden.
Dit is GEEN Microsoft probleem, Crowdstrike heeft dit gedaan.

En ja, elke software bouwr kan zo'n fout maken, als ze niet goed opletten.
Natuurlijk is het ook een Microsoft probleem oen (niet beledigend bedoeld). Een OS mag niet meer crashen in deze tijd. Te veel van afhankelijk.
22-07-2024, 13:20 door Anoniem
Microsoft draait ook nog een eigen account met volledige rechten op jouw thuiscomputer.

Voor evaluatie-doeleinden.

Je houdt alles even vast, maar het is niet echt meer van jou.

Daar ligt de crux van het probleem. Je hebt alles als freemium-ganger al weggegeven
aan iets en iemand achter je schermpje.

Heel veel eindgebruikers realiseren zich dit niet, anders namen ze wel een andere houding aan.

Slaap en knor maar lekker verder allemaal. De toekomst zal jullie wel inhalen. Oef.
22-07-2024, 15:06 door Anoniem
Door AX0 bv: Dit hele crowdstrike/microsoft saga, is een falen van de bovenste plank. Het geeft een inkijk in de huidige generatie en stand van zaken, kwalitatief, in de wereld van automatisering.

Momenteel heeft meer dan 85% van de automatiseerder geen enkel idee (meer) van de essentie van automatiseren, en blijken zij alleen nog maar een 'trucje' te beheersen. Tegelijkertijd zie je dat er van gezond nadenken en communicatiue steeds minder sprake is.

"Elk denkbaar aspect, facet, in en met digitaal automatiseren, is 100% voorspelbaar, manipuleerbaar, voor elke betrokkene..."

Het niet beheersen van deze essentie, ook binnen boardroom en management, is uiteindelijk, eveneens 100% voorspelbaar, wachten op het volgende grootschalig IT gebeuren. Bedenk je even wat de schade is die dit incident wereldwijd heeft veroorzaakt. Daar kan geen 'I'm Sorry'.... tegenop....
Ik ben het bijna met je eens. Het probleem ligt volgens mij niet zozeer bij systeem beheerders, die weten vaak wel hoe het een en ander in elkaar steekt. Bij veel bedrijven is daar het management. Die willen dee risico's niet zien van IT. Dat is niet alleen voor on-promise systemen zoals windows, linux, maar ook cloud.
Wat als je morgen niet bij je windows. linux of cloud applicatie kunt komen? heb je dat gedacht aan alternatieven om het bedrijf te laten draaien binnen tijd die voor jou mogelijk zijn? En ja dat kost geld, en ja dat zie je niet direct terug. Dat geld ook voor brandverzekeringen. Hopelijk heb je het voor niets geinvesteerd ;-)
22-07-2024, 21:16 door Anoniem
Ondertussen heeft BradW (Bradley Weinstein van Crowdstrike) een powershell command samengesteld om een bootable usb te maken om automatisch het bewuste C-00000291*.sys bestand van de computer te verwijderen. Heelwat drivers van de belangrijkste computermerken worden automatisch hiermee gedownload, (terwijl de Microsoft tool niet zoveel drivers bevat) .Met deze usb kan je gemakkelijk het bestand in weinige minuten van een groot aantal computers verwijderen, tenzij je overal bitlocker herstelcodes van 48 nummers moet ingeven :
https://www.reddit.com/r/crowdstrike/comments/1e9f5ik/falcon_windows_host_recovery/

Hier is de zip te vinden met het powershell command en de nodige documentatie in het Engels
https://github.com/CrowdStrike/falcon-windows-host-recovery

https://www.linkedin.com/in/bradleysweinstein
https://www.fullerton.edu/it/events_projects/techday/techday2022/presenters/brad-weinstein.php

Hier is een video van Crowdstrike om te tonen hoe je zelf handmatig het bestand verwijdert, als administrator uiteraard :
https://www.youtube.com/watch?v=Bn5eRUaMZXk
22-07-2024, 21:44 door Anoniem
Door Anoniem: Microsoft draait ook nog een eigen account met volledige rechten op jouw thuiscomputer.

Voor evaluatie-doeleinden.

Je houdt alles even vast, maar het is niet echt meer van jou.

Daar ligt de crux van het probleem. Je hebt alles als freemium-ganger al weggegeven
aan iets en iemand achter je schermpje.

Heel veel eindgebruikers realiseren zich dit niet, anders namen ze wel een andere houding aan.

Slaap en knor maar lekker verder allemaal. De toekomst zal jullie wel inhalen. Oef.
Windows wordt nooit van jou. Je mag betalen om het te mogen gebruiken maar wordt nooit eigenaar. Je moet ook accepteren dat de schade niet op Microsoft verhaalt kan worden anders mag je het niet gebruiken, ondanks dat je het denkt te hebben gekocht.
23-07-2024, 11:54 door Joep Lunaar
Door Anoniem: Ondertussen heeft BradW (Bradley Weinstein van Crowdstrike) een powershell command samengesteld om een bootable usb te maken om automatisch het bewuste C-00000291*.sys bestand van de computer te verwijderen. Heelwat drivers van de belangrijkste computermerken worden automatisch hiermee gedownload, (terwijl de Microsoft tool niet zoveel drivers bevat) .Met deze usb kan je gemakkelijk het bestand in weinige minuten van een groot aantal computers verwijderen, tenzij je overal bitlocker herstelcodes van 48 nummers moet ingeven :
https://www.reddit.com/r/crowdstrike/comments/1e9f5ik/falcon_windows_host_recovery/

Hier is de zip te vinden met het powershell command en de nodige documentatie in het Engels
https://github.com/CrowdStrike/falcon-windows-host-recovery

https://www.linkedin.com/in/bradleysweinstein
https://www.fullerton.edu/it/events_projects/techday/techday2022/presenters/brad-weinstein.php

Hier is een video van Crowdstrike om te tonen hoe je zelf handmatig het bestand verwijdert, als administrator uiteraard :
https://www.youtube.com/watch?v=Bn5eRUaMZXk
Dank je voor de info.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.