Aktueller Status
Derzeit sind uns keine flächendeckenden Störungen bekannt
23.7.24: Cloud Remediation für das Falcon Content Update
Aufgrund des Erfolgs des Cloud Remediation Mechanismus wurde dieser bei allen Kunden aktiviert. Heute wurde dieser Mechanismus von Crowdstrike auch generell für alle Kunden als opt-out zur Verfügung gestellt. Über den Mechanismus wird das betroffene Channel Update File in die Quarantäne verschoben. Man benötigt aufgrund einer Race-Condition auch bei dieser Lösung mehrere Reboots. Im Speziellen bei betroffenen Clients mit Bitlocker würde dies den Aufwand verringern.
22.7.24: Update
Mit der folgenden Query könnt ihr zusätzlich das Erstellungsdatum des Bitlocker Keys anzeigen lassen
Get-ADComputer -Filter {Enabled -eq $true} | %{$hostname = $_.Name; Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -SearchBase $_.DistinguishedName -Property 'msFVE-RecoveryPassword','msFVE-RecoveryGuid', 'whenCreated' | Select-Object @{Name="ComputerName"; Expression={$hostname}}, msFVE-RecoveryPassword, @{Name="msFVE-RecoveryGuid";Expression={Convert-ByteArrayToGuid -byteArray $_.Get("msFVE-RecoveryGuid")}}, whenCreated}
Wie vermutlich schon bekannt, aber mit dieser Anleitung kann man sich die Client Recovery etwas vereinfachen: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints - Microsoft Community Hub
20.7.24 - 15:15: Update
Crowdstrike verweist auf folgende öffentlichen Blogs:
- Technical Details on July 19, 2024 Outage | CrowdStrike
- Falcon Sensor Issue Likely Used to Target CrowdStrike Customers
Mit den folgenden Links könnt ihr überprüfen, ob die bisher bekannten IOC Domänen von euren Client angesprochen wurden und von welchem Prozess.
- EU-Cloud
- US-Cloud
- Statement on Falcon Content Update for Windows Hosts - crowdstrike.com
Crowdstrike hat das Dashboard "hosts_possibly_impacted_by_windows_crashes" unter dem Menü-Punkt NextGen SIEM angelegt:
- EU-Cloud
- US-Cloud
19.7.24 - 14:44: Query um betroffenen Clients zu finden
Bei der folgenden Query von Crowdstrike werden nur die Clients angezeigt die mit einer hohen Wahrscheinlichkeit betroffen sind, aber nicht alle betroffenen Endpunkte. Die Query gibt nur die Hostnames zurück und muss auf den Zeitraum von einem Tag gesetzt werden.
- EU-Cloud
- US-Cloud
Laut unserer Einschätzung sieht man mit dem folgendem Dashboard, welche Clients nicht betroffen sind:
- EU-Cloud
19.7.24 - 14:01: Relevante KB-Artikel
AWS-specific documentation:
Azure environments:
Please see this Microsoft article.
- BitLocker recovery in Microsoft Azure
- BitLocker recovery in Microsoft environments using SCCM
- BitLocker recovery in Microsoft environments using Active Directory and GPOs
- BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager
- BitLocker recovery in Microsoft environments using ManageEngine Desktop Central
19.7.24 - 12:11: Strong-IT Hotline:
langsam kommt bei unseren Kunden wieder Ruhe ein. Falls ihr dennoch Hilfe braucht, meldet euch via Ticket an hunting@strong-it.at oder in dringenden Fällen in unserer Hotline:
19.7.24 - 11:55: Aktuelle Stellungnahme vom Crowdstrike:
https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19