Microsoft 365AzureCrowdStrike
Sistemi IT in ginocchio in tutto il mondo: il problema è un aggiornamento difettoso di CrowdStrike
di Andrea Bai pubblicata il 19 Luglio 2024, alle 10:11 nel canale Security
Macchine Microsoft 365 e Azure in crash per via di un aggiornamento difettoso del software di sicurezza CrowdStrike stanno causando pesanti disservizi in tutto il mondo per compagnie aeree, emittenti televisive, banche e molti altri settori
Recensione Nothing Phone (2a) Plus: poco Plus ma è sempre più convincente
Recensione HONOR MagicPad 2, con un meraviglioso OLED da 12,3'' è un vero affare
Google Pixel Watch 3: migliora ma non è ancora come vorremmo. La recensione
Windows 11 24H2, l'aggiornamento con feature potrebbe non arrivare l'8 ottobre
2 PC portatili aziendali Lenovo hanno dei prezzi molto interessanti ora su Amazon: con Intel Core i5, 15,6'' Full HD e 16GB di RAM a 475€
ho.mobile: ritorna la migliore offerta da 5,99 euro al mese. I dettagli e come attivarla
271 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoQuesta è una cosa gravissima.
In Usa, ma probabilmente anche in Italia, ogni richiesta di risarcimento danni ( a prescindere da quello che dice il singolo contratto) porterà ad una condanna.
Ma oltre a questo chi si fiderà mai più di un software che scavalca contraddicendo il reparto It?
Un conto sono gli aggiornamenti live delle classiche definizioni che sono anche a cadenza oraria e fin qua mi può andar bene, ma tutt'altro paio di maniche è l'aggiornamento dei binari del programma che vanno a toccare moduli del kernel/driver e che essendo a "basso livello" richiedono nella stragrade maggioranza dei casi un riavvio: ecco, in questo caso vorrei magari deciderlo quando pianificarlo, magari con uno snapshot/backup prima di procedere.
Ma se nemmeno i driver video richiedono più il riavvio della macchina.
A quanto pare era possibile impostare dei ring ma questi sono stati bellamente ingnorati da CrowdStrike.
Io sto prendendo la parte dei sistemisti che state attaccando, con spocchia aggiungerei, come se quello di CrowdStrike non fosse lo sfondone del secolo che voi avreste saputo prevedere o arginare.
premetto che non ho approfondito se la colpa [S]è
ma oggi parlavano di 24 miliardi di dollari di danno, minimo,
se vero il calcolo, e le responsabilità, chi paga?
Vediamo intanto che succede lunedì mattina, la borsa non perdona...li vedo molto molto male questi qua...
questo lunedì... a me pare che l'eclatanza catastrofica della notizia sia scomparsa,
almeno su gugol niùss
se però fossi nella situazione del turista che è partito per le sue ferie (generalmente si fa una volta l'anno, lasciando come che sia, anche in malora
bè sarei partito di testa nel chiedere il rimborso per il riposo marcito: gente rimasta come profughi senza mezzi, risorse, e destinazioni incerte,
un danno all'uffizzio eletto delle ferie come il riposo meritato dal lavoratore-produttore instancabile (quindi anche in questo caso di "riposo"
Verissimo...
Anzi, si potrebbe dire che "era" un'azienda che "proteggeva" aeroporti, banche, ecc...
Beh, se stanno veramente così le cose, allora si va oltre il semplice errore.
Non mi meraviglierei che saltasse fuori anche un gesto volontario, magari un sabotaggio interno...
A quanto pare era possibile impostare dei ring ma questi sono stati bellamente ingnorati da CrowdStrike.
Io sto prendendo la parte dei sistemisti che state attaccando, con spocchia aggiungerei, come se quello di CrowdStrike non fosse lo sfondone del secolo che voi avreste saputo prevedere o arginare.
Nei vari prodotti security in cui ho messo le mani nel corso degli anni, al rilascio di una nuova versione del motore un riavvio dell'os è mandatorio nel 95% dei casi: lo era con symantec 20 e passa anni fa, come con AVG, TrenMicro, Gdata e lo è oggigiorno con Eset (che attualmente uso in azienda su ~300 endpoint). Che poi la tua Geforce a casa tua per i giochini non richieda il riavvio del sistema con nuovi driver video ok, ma non mischiamo le cose solo perchè parliamo di driver. I prodotti di security recenti su os recenti, si basano su WFP (Windows Filtering Platform) per filtrare il traffico di rete, che gira nel kernel layer, più in basso rispetto ai driver video in user mode (wddm).
Ho premesso da subito che CS non lo conosco affatto come prodotto ma solo per sentito dire: da quel che leggo se la loro arroganza è tale anche nel rilascio degli aggiornamenti scavalcando le policy degli amministratori beh, io non mi farei tanti scrupoli OGGI a disinstallarlo totalmente da ogni endpoint e chiedere danni per il grave disservizio.
E se fossi stato tampinato dall'assitenza sui social addirittura per aggiornare gli agent io, da sistemista, gli avrei mandati a margherite già da un pezzo.
Scherziamo?
CS(ma penso che anche la concorrenza sia simile) funziona in questo modo:
[LIST]
[*] l'agent che installano e che è firmato da microsoft ha dentro una specie di virtual machine(l'installazione di questa, molto probabilmente, richiede un riavvio del sistema)
[*] i file *.sys invece non sono firmati da nessuno ma contengono delle istruzioni che poi l'agent interpreta e di conseguenza non richiede nessuna operazione amministrativa se non quella di scrivere su %WINDIR%\System32\drivers\CrowdStrike
[/LIST]
Wddm è sia in userspace che in kernel space.
Non so cosa faccia ESET ma l'unica volta che devo riavviare forzatamente i server è solo dopo gli aggiornamenti di Windows o quando si disinstalla il client fortinet, ma se vuoi parlare di quanto fortinet sia imbarazzante su certi aspetti ci sto alla grande.
Driver non firmati su Windows?
D’altronde, se è un software di sicurezza, va aggiornato appena disponibile, no?
Sinceramente, quello che si chiedono in molti, è se tanti di questi terminali avessero realmente bisogno di Windows e di una suite di sicurezza (società terza, praticamente da monopolio, con accesso libero al kernel) per funzionare...
esatto
e non solo
tutte queste caxxo di soluzioni MSP, non sono nemmeno sotto la tua diretta supervisione
E ancora con questa storia del monopolio, prima di venerdì non lo conosceva nessuno neppure sui forum gli addetti ai lavori. È un'azienda tra varie che offriva EDR, come lo offre Microsoft stessa. Non mi sembra nemmeno che si possa considerare leader mondiale di EDR o XDR come potrebbe esserlo TeamViewer nel suo campo per esempio.
esatto
i controlli, almeno quelli macroscopici come boot loop o BSOD, DEVONO essere fatti a monte ci mancherebbe
l'essere sempre up to date è molto importante x gli EDR/antivirus e sw simili
Sembra anche che dove il cliente ha disattivato l'aggiornamento automatico questo sia bypassato dal tipo particolare di update che crowstrike ha pushato.
una roba tipo
"ma come non lo vuoi un bel BSOD alle tue macchine?
dai acchiappatelo su
"
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".