Aktueller Status

Derzeit sind uns keine flächendeckenden Störungen bekannt



23.7.24: Cloud Remediation für das Falcon Content Update

Aufgrund des Erfolgs des Cloud Remediation Mechanismus wurde dieser bei allen Kunden aktiviert. Heute wurde dieser Mechanismus von Crowdstrike auch generell für alle Kunden als opt-out zur Verfügung gestellt. Über den Mechanismus wird das betroffene Channel Update File in die Quarantäne verschoben. Man benötigt aufgrund einer Race-Condition auch bei dieser Lösung mehrere Reboots. Im Speziellen bei betroffenen Clients mit Bitlocker würde dies den Aufwand verringern.

22.7.24: Update

Mit der folgenden Query könnt ihr zusätzlich das Erstellungsdatum des Bitlocker Keys anzeigen lassen

Get-ADComputer -Filter {Enabled -eq $true} | %{$hostname = $_.Name; Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -SearchBase $_.DistinguishedName -Property 'msFVE-RecoveryPassword','msFVE-RecoveryGuid', 'whenCreated' | Select-Object @{Name="ComputerName"; Expression={$hostname}}, msFVE-RecoveryPassword, @{Name="msFVE-RecoveryGuid";Expression={Convert-ByteArrayToGuid -byteArray $_.Get("msFVE-RecoveryGuid")}}, whenCreated}

Wie vermutlich schon bekannt, aber mit dieser Anleitung kann man sich die Client Recovery etwas vereinfachen: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints - Microsoft Community Hub 

20.7.24 - 15:15: Update

Crowdstrike verweist auf folgende öffentlichen Blogs:

-  Technical Details on July 19, 2024 Outage | CrowdStrike

-  Falcon Sensor Issue Likely Used to Target CrowdStrike Customers

    Mit den folgenden Links könnt ihr überprüfen, ob die bisher bekannten IOC Domänen von euren Client angesprochen wurden und von welchem       Prozess.

    - EU-Cloud

    - US-Cloud

-  Statement on Falcon Content Update for Windows Hosts - crowdstrike.com

Crowdstrike hat das Dashboard "hosts_possibly_impacted_by_windows_crashes" unter dem Menü-Punkt NextGen SIEM angelegt:

    - EU-Cloud

    - US-Cloud

19.7.24 - 14:44: Query um betroffenen Clients zu finden

Bei der folgenden Query von Crowdstrike werden nur die Clients angezeigt die mit einer hohen Wahrscheinlichkeit betroffen sind, aber nicht alle betroffenen Endpunkte. Die Query gibt nur die Hostnames zurück und muss auf den Zeitraum von einem Tag gesetzt werden.

- EU-Cloud

US-Cloud

Laut unserer Einschätzung sieht man mit dem folgendem Dashboard, welche Clients nicht betroffen sind:

EU-Cloud

- US-Cloud

19.7.24 - 14:01: Relevante KB-Artikel

AWS-specific documentation:

Azure environments:
Please see this Microsoft article.

Bitlocker recovery-related KBs:


19.7.24 - 12:11: Strong-IT Hotline: langsam kommt bei unseren Kunden wieder Ruhe ein. Falls ihr dennoch Hilfe braucht, meldet euch via Ticket an hunting@strong-it.at oder in dringenden Fällen in unserer Hotline: +43 (0)512 209083 - 30


19.7.24 - 11:55: Aktuelle Stellungnahme vom Crowdstrike: 
https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19


Das Azure Workaround kann von unserer Seite nicht bestätigt werden!


19.7.24 - 11:48: Workaround:  Safemode + Netzwerkmodus - Wir haben die Info erhalten, dass es hilft, den Rechner im Safemode + Netzwerkmodus zu booten. Anschließend holt sich der Rechner das notwenige Update automatisch!


19.7.24 - 10:21: FAQ1 - Aktuelle oft gefragt:

Sensor Update Policy: hat keinen Einfluss auf das Problem, dass das fehlerhafte Update via Channel-Update auf allen Geräten eingespielt wurde, egal welche Update-Plicy hinterlegt ist.

Sensor deinstallieren: ist nicht notwendig / empfohlen. Das löschen der Files (oder in vielen Fällen die Reboots) beheben das Problem nachhaltig.

Reboot: Hilft aktuell in sehr vielen Fällen. Erstaunlicherweise hilfts bei Servern / Clients oft auch, wenn sie 1 Min+ ausgeschalten waren vor dem Neustart!


19.7.24 - 10:09: Script für Bitlocker Recovery Keys - Wir verwenden aktuell dieses Script (elevated ausführen!) um eine Liste aller Bitlocker Recovery-Keys zu bekommen. Idealerweise gleich in Barcode / Scannen statt abtippen

# Import the Active Directory moduleImport-Module ActiveDirectory
# Initialize an empty array to store the BitLocker recovery information
$recoveryInfo = @()
# Get all computers in the domain$computers = Get-ADComputer -Filter *# Loop through each computer and get the BitLocker recovery key information
foreach ($computer in $computers) {    # Get the BitLocker recovery information from the current computer    $bitlockerKeys = Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -SearchBase $computer.DistinguishedName -Property 'msFVE-RecoveryPassword','msFVE-RecoveryGuid' | Select-Object msFVE-RecoveryPassword, msFVE-RecoveryGuid    # Loop through each BitLocker key and create a custom object with the necessary information    foreach ($key in $bitlockerKeys) {        $recoveryInfo += [PSCustomObject]@{            ComputerName = $computer.Name            RecoveryKey = $key.'msFVE-RecoveryPassword'            RecoveryGuid = $key.'msFVE-RecoveryGuid'
                      whenCreated = $key.whenCreated
                                 }    }}# Export the collected information to a CSV file$recoveryInfo




19.7.24 - 09:20 -    Workaround Steps:

Crowdstrike und einige Kunden berichten, dass Reboots das Problem oft beheben. Wir konnten das intern teilweise nachstellen. Bitte startet die betroffenen Clients/server mehrmals neu.


19.7.24 - 08:15 -  Workaround Steps:



19.7.24 - 06:30: BSOD durch Crowdstrike Update

AKtuell sind alle Crowdstrike Kunden durch ein fehlerhaftes Update von diesem BSOD betroffen - wir halten euch hier auf diesem Weg auf dem Laufenden bzgl. Infos, Workaround und Lösungen: