Crowdstrike: "Update des Todes"
2024-07-20
Ob an den Flughäfen Berlin, Hamburg und Düsseldorf, bei Banken oder in Krankenhäusern: Freitag den 19.7.24 ging plötzlich nichts mehr, alle Computer zeigten einen BSOD – Bluescreen of Death, Bluescreen des Todes. Also eine Meldung, mit der Windows anzeigt, dass nichts mehr geht, daher dieser Spitzname. In neueren Windows-Versionen wird das Erscheinen des BSOD vermieden, indem die Meldung abgeschaltet wird – dann startet Windows ohne Kommentar neu, in diesem Fall endlos. Nicht sehr hilfreich.
Windows-Updates haben leider öfters solche Folgen, auch dem Autor war danach schon mal der PC „zerschossen“. Microsoft war dieses Mal jedoch nicht schuld, wohl aber ein Update, und zwar ausgerechnet einer Sicherheitssoftware, Falcon Sensor von Crowdstrike. Das soll für mehr Sicherheit vor Viren und anderen Attacken sorgen – nun stellte es etwas anderes sicher, nämlich dass die PCs nicht mehr liefen.
Die gute Nachricht: Auf Computern von Privatanwendern dürfte diese Software nicht zu finden sein, sie wird eben gerade bei besonders sicherheitskritischen Anwendungen installiert. Diese sind also nicht betroffen. Linux und MacOS bieten jedoch nicht per sé mehr Sicherheit – Falcon gibt es auch für diese Betriebssysteme. Allerdings scheint das aktuelle Todes-Update nur unter Windows zugeschlagen zu haben.
Wer doch einen von Crowdstrike Falcon lahmgelegten Computer sein Eigen nennt, sollte die folgenden Schritte ausführen:
- In Safe Mode oder dem Windows Recovery Environment (über die Windows-CD aufrufbar) starten
- Ins Verzeichnis C:\Windows\System32\drivers\CrowdStrike wechseln
- Dort die Dateien, deren Name mit C-00000291 beginnt und auf .sys endet, löschen
- Normal neu starten
Danach sollte der Computer wieder laufen, die Sicherheitsfunktionen von Crowdstrike Falcon sind allerdings nicht mehr aktiv, bis das Programm die nun fehlende Datei wieder nachgeladen hat. Diese sollte nun nicht mehr defekt sein – die defekte Datei wird von Crowdstrike nicht mehr ausgeliefert. Automatisch lässt sie sich nicht austauschen, weil betroffene Computer ja nicht mehr funktionsfähig sind.
DL2MCD