Aktueller Status
Derzeit sind uns keine flächendeckenden Störungen bekannt
23.7.24: Cloud Remediation für das Falcon Content Update
Aufgrund des Erfolgs des Cloud Remediation Mechanismus wurde dieser bei allen Kunden aktiviert. Heute wurde dieser Mechanismus von Crowdstrike auch generell für alle Kunden als opt-out zur Verfügung gestellt. Über den Mechanismus wird das betroffene Channel Update File in die Quarantäne verschoben. Man benötigt aufgrund einer Race-Condition auch bei dieser Lösung mehrere Reboots. Im Speziellen bei betroffenen Clients mit Bitlocker würde dies den Aufwand verringern.
22.7.24: Update
Mit der folgenden Query könnt ihr zusätzlich das Erstellungsdatum des Bitlocker Keys anzeigen lassen
Get-ADComputer -Filter {Enabled -eq $true} | %{$hostname = $_.Name; Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -SearchBase $_.DistinguishedName -Property 'msFVE-RecoveryPassword','msFVE-RecoveryGuid', 'whenCreated' | Select-Object @{Name="ComputerName"; Expression={$hostname}}, msFVE-RecoveryPassword, @{Name="msFVE-RecoveryGuid";Expression={Convert-ByteArrayToGuid -byteArray $_.Get("msFVE-RecoveryGuid")}}, whenCreated}
Wie vermutlich schon bekannt, aber mit dieser Anleitung kann man sich die Client Recovery etwas vereinfachen: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints - Microsoft Community Hub
20.7.24 - 15:15: Update
Crowdstrike verweist auf folgende öffentlichen Blogs:
- Technical Details on July 19, 2024 Outage | CrowdStrike
- Falcon Sensor Issue Likely Used to Target CrowdStrike Customers
Mit den folgenden Links könnt ihr überprüfen, ob die bisher bekannten IOC Domänen von euren Client angesprochen wurden und von welchem Prozess.
- EU-Cloud
- US-Cloud
- Statement on Falcon Content Update for Windows Hosts - crowdstrike.com
Crowdstrike hat das Dashboard "hosts_possibly_impacted_by_windows_crashes" unter dem Menü-Punkt NextGen SIEM angelegt:
- EU-Cloud
- US-Cloud
19.7.24 - 14:44: Query um betroffenen Clients zu finden
Bei der folgenden Query von Crowdstrike werden nur die Clients angezeigt die mit einer hohen Wahrscheinlichkeit betroffen sind, aber nicht alle betroffenen Endpunkte. Die Query gibt nur die Hostnames zurück und muss auf den Zeitraum von einem Tag gesetzt werden.
- EU-Cloud
- US-Cloud
Laut unserer Einschätzung sieht man mit dem folgendem Dashboard, welche Clients nicht betroffen sind:
- EU-Cloud
19.7.24 - 14:01: Relevante KB-Artikel
AWS-specific documentation:
Azure environments:
Please see this Microsoft article.
- BitLocker recovery in Microsoft Azure
- BitLocker recovery in Microsoft environments using SCCM
- BitLocker recovery in Microsoft environments using Active Directory and GPOs
- BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager
- BitLocker recovery in Microsoft environments using ManageEngine Desktop Central
19.7.24 - 12:11: Strong-IT Hotline:
langsam kommt bei unseren Kunden wieder Ruhe ein. Falls ihr dennoch Hilfe braucht, meldet euch via Ticket an hunting@strong-it.at oder in dringenden Fällen in unserer Hotline:
19.7.24 - 11:55: Aktuelle Stellungnahme vom Crowdstrike:
https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19
Das Azure Workaround kann von unserer Seite nicht bestätigt werden!
19.7.24 - 11:48: Workaround: Safemode + Netzwerkmodus - Wir haben die Info erhalten, dass es hilft, den Rechner im Safemode + Netzwerkmodus zu booten. Anschließend holt sich der Rechner das notwenige Update automatisch!
19.7.24 - 10:21: FAQ1 - Aktuelle oft gefragt:
Sensor Update Policy: hat keinen Einfluss auf das Problem, dass das fehlerhafte Update via Channel-Update auf allen Geräten eingespielt wurde, egal welche Update-Plicy hinterlegt ist.
Sensor deinstallieren: ist nicht notwendig / empfohlen. Das löschen der Files (oder in vielen Fällen die Reboots) beheben das Problem nachhaltig.
Reboot: Hilft aktuell in sehr vielen Fällen. Erstaunlicherweise hilfts bei Servern / Clients oft auch, wenn sie 1 Min+ ausgeschalten waren vor dem Neustart!
19.7.24 - 10:09: Script für Bitlocker Recovery Keys - Wir verwenden aktuell dieses Script (elevated ausführen!) um eine Liste aller Bitlocker Recovery-Keys zu bekommen. Idealerweise gleich in Barcode / Scannen statt abtippen
# Import the Active Directory moduleImport-Module ActiveDirectory
# Initialize an empty array to store the BitLocker recovery information
$recoveryInfo = @()
# Get all computers in the domain$computers = Get-ADComputer -Filter *# Loop through each computer and get the BitLocker recovery key information
foreach ($computer in $computers) { # Get the BitLocker recovery information from the current computer $bitlockerKeys = Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -SearchBase $computer.DistinguishedName -Property 'msFVE-RecoveryPassword','msFVE-RecoveryGuid' | Select-Object msFVE-RecoveryPassword, msFVE-RecoveryGuid # Loop through each BitLocker key and create a custom object with the necessary information foreach ($key in $bitlockerKeys) { $recoveryInfo += [PSCustomObject]@{ ComputerName = $computer.Name RecoveryKey = $key.'msFVE-RecoveryPassword' RecoveryGuid = $key.'msFVE-RecoveryGuid'
whenCreated = $key.whenCreated
} }}# Export the collected information to a CSV file$recoveryInfo
19.7.24 - 09:20 - Workaround Steps:
Crowdstrike und einige Kunden berichten, dass Reboots das Problem oft beheben. Wir konnten das intern teilweise nachstellen. Bitte startet die betroffenen Clients/server mehrmals neu.
19.7.24 - 08:15 - Workaround Steps:
19.7.24 - 06:30: BSOD durch Crowdstrike Update
AKtuell sind alle Crowdstrike Kunden durch ein fehlerhaftes Update von diesem BSOD betroffen - wir halten euch hier auf diesem Weg auf dem Laufenden bzgl. Infos, Workaround und Lösungen: