Crowdstrike: Kleine Ursache, große Wirkung – und viel Verwirrung

Sicherheitssoftware – egal von welchem Hersteller – bewegt sich sehr tief im Betriebssystem. Fachleute sprechen hier vom Kernel-Space, oder auch „Ring 0“. Hier findet alles statt, was mit Speicherverwaltung, Hardware-Ressourcen und sonstigen Kernaufgaben des Betriebssystems zu tun hat. Im Unterschied dazu gibt es den User-Space, auch „Ring 3“ genannt. Hier spielt sich das meiste von dem ab, was Anwender in ihren Programmen sehen und tun. Die beiden sind in der Regel strikt voneinander getrennt – keine normale Anwendung (wie Spiele oder Textverarbeitungssoftware) kann direkt auf Kernel-Code zugreifen, um ihn auszuführen, sondern muss eine Anfrage an den Kernel stellen, der dann wiederum entscheidet, und dann erst den geforderten Code ausführt. 

Passieren nun Fehler in einem der beiden Spaces, kommt es zu einem Absturz. Wenn ein Fehler im User-Space passiert, dann betrifft das in der Regel nur die Anwendung. Diese stürzt ab, wirft unterwegs noch eine Fehlermeldung (oder schreibt eine in die Ereignisanzeige) und muss dann entweder zwangsweise beendet oder neu gestartet werden.  

Ein Fehler im Kernelspace hingegen führt zu einem Systemabsturz – und der Bluescreen ist das, was wir als Anwender davon zu sehen bekommen. Diese Art des Absturzes existiert übrigens auf allen modernen Betriebssystemen, inklusive Linux oder MacOS (bzw BSD). Unter Linux und verwandten Systemen spricht man von einer „kernel panic“ – das Ergebnis ist aber dasselbe wie unter Windows, nur eben ohne den blauen Bildschirmhintergrund. Nach dem Absturz erfolgt in der Regel ein Neustart – es sei denn, der Fehler ist so gravierend, dass ein Neustart unmöglich wird.  

Schnell verbreitete sich das Gerücht, dass eine Treiberdatei die Wurzel des Übels sei. Der Dateiname beginnt mit „C-00000291” und hat die Endung *.sys“. Die Dateiendung lässt zwar den Schluss zu, dass es sich dabei um eine Treiberdatei handeln könnte, das entspricht aber nicht den Tatsachen. Es handelt sich um eine Update-Datei (Crowdstrike nennt sie „Channel Files), die Instruktionen für den eigentlichen Treiber enthält – aber nicht um den Treiber selbst. Dieser Unterschied ist wichtig, denn Treiber, die im Kernelspace laufen, müssen von Microsoft signiert werden. Hier liegt ein tatsächlicher Flaschenhals: Würden die Instruktionen fest in den Treiber eingebaut werden, müsste für jedes Update der Treiber neu signiert werden. Das wiederum kann aber Tage bis Wochen dauern. Zu lange also, um auf dynamische Bedrohungen zu reagieren. Die entscheidenden – und auch tatsächlich unverzichtbaren – Instruktionen müssen also schneller zur Verfügung stehen. Hier kommen die besagten Updates ins Spiel. Hier muss es in einem Update einen Fehler gegeben haben, der zu einem Systemabsturz führte – zum Beispiel gibt es Gerüchte, dass ein so genannter „Null Pointer“ verantwortlich war. Hier gibt es z. B. innerhalb der Datei eine Anweisung, zu einer bestimmten Routine zu springen – aber diese existiert entweder nicht oder sie existiert an einem anderen Ort. Das Ergebnis: Das System erkennt, dass hier ein Fehler vorliegt und betätigt quasi die Notbremse, um Schäden zu vermeiden. In diesem Moment sehen wir einen Bluescreen. Diese Theorie wurde aber von CrowdStrike bisher nicht bestätigt und soll nur als Beispiel dienen. 

Es gibt das Gerücht, dass der Inhalt der fraglichen Updatedatei „nur aus Nullen bestehen“ würde. Dafür gibt es jedoch keine Anhaltspunkte. Entstanden ist dieses Gerücht möglicherweise aus einem Post auf X (vormals Twitter), in dem ein Entwickler einige Debug-Ausgaben nicht korrekt interpretiert hat. Sicherheitsforscher Tavis Ormandy hat zwar über den Irrtum aufgeklärt, allerdings hatte der urpsprüngliche Post zu diesem Punkt bereits eine Reichweite von mehreren Zehntausend.  Auch, dass die verantwortliche Datei ein Treiber sei, stimmt nur zur Hälfte. Die Treiberdatei führt zwar die Anweisungen aus der Updatedatei aus, ist aber selbst nicht ursächlich für den Absturz. Die Updatedatei enthält die Anweisungen, die schlussendlich für den Absturz verantwortlich sind. Es gab auch das Gerücht, Microsoft sei Schuld an den Abstürzen - das entspricht jedoch nicht den Tatsachen. Entstanden ist das Gerücht, weil ausschließlich Windows-Systeme von den Abstürzen betroffen waren. Das fragliche Update war allerdings auf die Detektion so genannter “Named Pipes” ausgelegt, wie sie etwa von Programmen wie Cobalt  Strike eingesetzt werden. Diese kommen aber auf Linux- und Mac-Systemen überhaupt nicht vor, daher konnte es hier auch keine Abstürze geben. Auch ein Angriff durch Kriminelle ist an dieser Stelle auszuschließen – das war bereits kurz nach Bekanntwerden der Abstürze klar.  

Dreh- und Angelpunkt der Ereigniskette, die zu den weltweiten Abstürzen und dem resultierenden Chaos führten, ist eine rigorose Überprüfung der Updates, bevor diese veröffentlicht werden. Hier versuchen Hersteller jedes erdenkliche Szenario abzudecken, um Überraschungen zu vermeiden. Das geschieht durch verschiedene ständige Tests. Eine hundertprozentige Garantie kann es jedoch nirgendwo geben – gerade deshalb verfolgt die gesamte Branche auch die Berichterstattung zum Thema mit großem Interesse. Wir hoffen darauf, dass die Ergebnisse einer genaueren Untersuchung ebenfalls öffentlich gemacht werden, damit wir alle künftig davon lernen können. In fast 40 Jahren Unternehmensgeschichte haben wir natürlich auch bereits unsere Erfahrungen machen und unsere eigenen Prozesse daraufhin anpassen müssen. „Traue niemandem, der behauptet, nie Fehler zu machen“ könnte hier das Motto sein. Denn wer noch nie Fehler gemacht hat, weiß auch nicht, wie mit ihnen umzugehen ist und wie man sie beheben kann.  

So nachvollziehbar auch die Verunsicherung rund um Updates ist: Fälle wie dieser sind die absolute Ausnahme. Doch es gab auch in der Vergangenheit bereits Fälle, in denen defekte Updates für teilweise gravierende Probleme gesorgt haben.  
Doch nach dem gegenwärtigen Stand überwiegen tatsächlich die Vorteile von Updates. Realistisch betrachtet, ist das Aussetzen und Nichtinstallieren von Updates keine wirkliche Option. So bleiben Sicherheitslücken ungepatcht, die für Angreifer zur Zielscheibe werden. Trotz eines katastrophalen Ereignisses bleiben Updates noch immer das beste Mittel zur Sicherung des Netzwerkes.  
 
Hersteller müssen auf der anderen Seite dafür Sorge tragen, dass die richtigen Prozesse existieren, die einen Vorfall wie den bei Crowdstrike verhindern – und hier kann man nur voneinander lernen.  

Ereignisse wie dieses rufen natürlich auch Kriminelle schnell auf den Plan. Binnen weniger als 48 Stunden begannen bereits die ersten E-Mails zu kursieren, die einen vermeintlichen Fix für das Problem enthalten – aber stattdessen wurde statt einer Hilfe in Wirklichkeit Malware verschickt. Kriminelle Akteure machen sich hier das Chaos zunutze, das in viele betroffenen Unternehmen herrschen dürfte. Wer in dieser Situation mit einer angeblichen einfachen Lösung für ein akut bestehendes Problem um die Ecke kommt, hat hohe Erfolgsschancen. 

Gerade im Moment ist es also von höchster Wichtigkeit, sich ausschließlich auf die offiziellen Verlautbarungen von Crowdstrike zu verlassen und auf keinen Fall vermeintliche „Quick Fixes“ aus einem E-Mail-Anhang auszuführen.