Crowdstrike: 10-US-Dollar-Gutscheine zur Wiedergutmachung und erste Untersuchungsergebnisse

Was ist ein Fehler beim Verteilen eines Updates wert? Geht es nach Crowdstrike, sind es offenbar ganze 10 US-Dollar, die das Unternehmen jetzt einem Bericht von Techcrunch zufolge an Betroffene verteilt. Diese 10 US-Dollar können bei Uber Eats eingelöst werden – theoretisch.

Denn diversen Quellen zufolge, auf die sich Techcrunch bezieht, kam es bei der Verteilung der Uber-Eats-Gutscheine auch gleich wieder zu Problemen. Offenbar lässt sich der Gutschein von vielen nicht einlösen.

Mit dem Gutschein wollte Crowdstrike die zusätzliche Arbeit würdigen, die am 19. Juli 2024 entstanden ist. Weltweit ist kritische Infrastruktur zusammengebrochen, auch weil der Falcon Sensor tief in das System integriert wird. Eine kaputte Konfigurationsdatei (Channel File) im Treiberverzeichnis sorgte dann für abstürzende Systeme, die teilweise nur über den abgesicherten Modus gerettet werden konnten.

Zwar konnte Crowdstrike den Fehler nach etwas über einer Stunde beheben, dann war es aber für zahlreiche Unternehmen längst zu spät.

Dass Crowdstrike überhaupt so tief in Systeme integriert werden muss, liegt daran, dass Microsoft nicht die erforderlichen Schnittstellen für entsprechende Software liefert, damit Kernel-Erweiterungen nicht mehr notwendig sind. 

Unter MacOS ist Crowdstrike etwa 2020 den entsprechenden Weg gegangen, als Apple sich von Kernel Extensions (Kext) langsam verabschiedete und sie als "Deprecated" einstufte. 

Dieses Versäumnis Microsofts eine entsprechende API zu schaffen, kombiniert mit der fehlenden Qualitätskontrolle bei Crowdstrike und offenbar unbeaufsichtigten Updates von kritischen Systemen sorgte dann weltweit für ein Chaos in IT-Abteilungen und sicher zahlreiche Überstunden.

Erste Untersuchungsergebnisse zum Vorfall

Derweil hat Crowdstrike am 24. Juli einen Preliminary Post Incident Review veröffentlicht, nachdem es immer wieder Updates zu dem Vorfall gab und teils Falschinformationen korrigiert wurden (Null-Pointer-Problematik). 

Demnach wollte Crowdstrike mit einem Rapid-Response-Update auf eventuelle Gefahren besonders schnell reagieren.  Diese Updates sollen dementsprechend beschleunigt ausgeliefert werden. Dieses Update in Form einer Datei, die – wie es Crowdstrike betont – weder Code noch Kernel-Treiber enthält, wurde dann am 19. Juli verteilt. Aufgrund eines Bugs konnte eine von zwei sogenannten IPC Content Templates erfolgreich als gültiges Update validiert werden und in die produktiven Umgebungen verteilt werden. Es folgten dann weltweit Abstürze.

Crowdstrike will darauf nun mit angepasster Qualitätskontrolle reagieren. Darunter wird auch eine "Staggered Deployment Strategy" sein. Updates werden also phasenweise an größere Blöcke von Kunden verteilt. Sollte dann ein Problem auftauchen, kann das Update noch gestoppt werden. Eigentlich eine Selbstverständlichkeit für derartig kritische Updates.

Ferner sollen Sysadmins mehr Kontrolle zu Aktualisierungen bekommen. Offenbar konnten diese bisher nicht sehr viel einstellen, wie indirekt herauszulesen ist. In Zukunft soll es bessere Kontrolle darüber geben, wie "Rapid Response Content" verteilt wird. Das gilt sowohl für den Zeitpunkt als auch den Ort, also, welche Rechner damit bespielt werden.

Die fehlende Kontrolle könnte erklären, warum so viele IT-Abteilungen gleichzeitig kalt erwischt wurden, obwohl der Fehler nach etwas über einer Stunde durch ein korrigiertes Channel File behoben wurde. Aber da war es für viele Systeme längst zu spät.