Aktueller Status

Derzeit sind uns keine flächendeckenden Störungen bekannt



23.7.24: Cloud Remediation für das Falcon Content Update

Aufgrund des Erfolgs des Cloud Remediation Mechanismus wurde dieser bei allen Kunden aktiviert. Heute wurde dieser Mechanismus von Crowdstrike auch generell für alle Kunden als opt-out zur Verfügung gestellt. Über den Mechanismus wird das betroffene Channel Update File in die Quarantäne verschoben. Man benötigt aufgrund einer Race-Condition auch bei dieser Lösung mehrere Reboots. Im Speziellen bei betroffenen Clients mit Bitlocker würde dies den Aufwand verringern.

22.7.24: Update

Mit der folgenden Query könnt ihr zusätzlich das Erstellungsdatum des Bitlocker Keys anzeigen lassen

Get-ADComputer -Filter {Enabled -eq $true} | %{$hostname = $_.Name; Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -SearchBase $_.DistinguishedName -Property 'msFVE-RecoveryPassword','msFVE-RecoveryGuid', 'whenCreated' | Select-Object @{Name="ComputerName"; Expression={$hostname}}, msFVE-RecoveryPassword, @{Name="msFVE-RecoveryGuid";Expression={Convert-ByteArrayToGuid -byteArray $_.Get("msFVE-RecoveryGuid")}}, whenCreated}

Wie vermutlich schon bekannt, aber mit dieser Anleitung kann man sich die Client Recovery etwas vereinfachen: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints - Microsoft Community Hub 

20.7.24 - 15:15: Update

Crowdstrike verweist auf folgende öffentlichen Blogs:

-  Technical Details on July 19, 2024 Outage | CrowdStrike

-  Falcon Sensor Issue Likely Used to Target CrowdStrike Customers

    Mit den folgenden Links könnt ihr überprüfen, ob die bisher bekannten IOC Domänen von euren Client angesprochen wurden und von welchem       Prozess.

    - EU-Cloud

    - US-Cloud

-  Statement on Falcon Content Update for Windows Hosts - crowdstrike.com

Crowdstrike hat das Dashboard "hosts_possibly_impacted_by_windows_crashes" unter dem Menü-Punkt NextGen SIEM angelegt:

    - EU-Cloud

    - US-Cloud

19.7.24 - 14:44: Query um betroffenen Clients zu finden

Bei der folgenden Query von Crowdstrike werden nur die Clients angezeigt die mit einer hohen Wahrscheinlichkeit betroffen sind, aber nicht alle betroffenen Endpunkte. Die Query gibt nur die Hostnames zurück und muss auf den Zeitraum von einem Tag gesetzt werden.

- EU-Cloud

US-Cloud

Laut unserer Einschätzung sieht man mit dem folgendem Dashboard, welche Clients nicht betroffen sind:

EU-Cloud

- US-Cloud

19.7.24 - 14:01: Relevante KB-Artikel

AWS-specific documentation:

Azure environments:
Please see this Microsoft article.

Bitlocker recovery-related KBs:


19.7.24 - 12:11: Strong-IT Hotline: langsam kommt bei unseren Kunden wieder Ruhe ein. Falls ihr dennoch Hilfe braucht, meldet euch via Ticket an hunting@strong-it.at oder in dringenden Fällen in unserer Hotline: +43 (0)512 209083 - 30


19.7.24 - 11:55: Aktuelle Stellungnahme vom Crowdstrike: 
https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19