Microsoft introduceert hersteltool voor CrowdStrike-bug

Microsoft heeft een hersteltool uitgebracht die de CrowdStrike-bug op Windows-pc’s moet verhelpen. De tool, die via het Microsoft Download Center te downloaden is, biedt twee opties aan om getroffen Windows-computers en -servers te herstellen.

De meest aanbevolen optie is volgens Microsoft de Recover from WinPE-modus. Via deze modus kan het getroffen systeem snel en rechtstreeks worden hersteld zonder dat er lokale beheerdersrechten nodig zijn. Gebruikers moeten via deze optie wel een BitLocker-herstelsleutel ingeven, als de BitLocker-functie tenminste geactiveerd was op het apparaat.

Het is ook mogelijk om getroffen apparaten via de veilige modus te herstellen. Via deze tweede optie is er volgens het bedrijf geen BitLocker-sleutel nodig, maar moeten gebruikers wel toegang hebben tot een account met lokale beheerdersrechten. Deze optie is volgens Microsoft geschikt voor apparaten waarbij de TPM instaat voor de beveiliging van het apparaat en de BitLocker-sleutel onbekend is. Gebruikers moeten in dat geval wel een pincode invoeren. Als zowel de TPM als de Bitlocker-functie wordt gebruikt, moet er een pincode of een BitLocker-herstelsleutel worden ingevoerd.

Microsoft heeft ook enkele systeemvereisten gedeeld. De tool draait op elke pc met een 64bit-versie van Windows en minstens 8GB opslagruimte. De tool genereert een bootable USB-drive die minstens 1GB opslagruimte moet bevatten. Deze drive wordt volledig gewist en geformatteerd naar de FAT32-bestandsstructuur. Gebruikers die de tool draaien, moeten beheerdersrechten hebben.

Op vrijdag 19 juli ontstonden er wereldwijde IT-problemen door een storing in de beveiligingssoftware van CrowdStrike. Deze storing leidde tot een blue screen of death, ofwel bsod, op Windows-computers en -servers, waardoor volledige systemen plat kwamen te liggen. Volgens Microsoft werden er zo’n 8,5 miljoen Windows-apparaten getroffen. In Nederland ontstonden er problemen op Schiphol en bleken ook enkele ziekenhuizen kwetsbaar. CrowdStrike heeft wereldwijd zo'n 29.000 klanten. Het is onbekend hoeveel van deze klanten in Nederland gevestigd zijn, maar een grote distributeur zegt tegen Tweakers dat het er naar schatting 'duizend, zo niet duizenden' zijn. Tweakers publiceerde ook een achtergrondartikel over de storing.

Reacties (74)

Centauriprime

22 juli 2024 09:44

Interresant filmpje van een oud MS software engineer over de bug.

CrowdStrike IT Outage Explained by a Windows Developer

DdeM @Centauriprime • 22 juli 2024 13:13

Als dat echt zo is, dat ze dus unsigned code verstoppen in definition files, dan veranderd dat mijn mening dat ze waarschijnlijk niet aangeklaagd zullen worden wel 180 graden. Dat is gewoon malpractice

dasiro @DdeM • 22 juli 2024 17:02

het werkt, omdat het zo mág (en zelfs moet) werken. Dat de verantwoordelijkheid bij de softwareleverancier ligt is hierbij overduidelijk, maar het alternatief is dat Microsoft dagelijks of zelfs meerdere keren per dag een nieuwe WHQL-driver moet onderzoeken en signen, wat in de praktijk gewoon onwerkbaar is.

DdeM @dasiro • 22 juli 2024 18:58

Kan eerlijk gezegd geen drivers bedenken die meerdere keren per dag geüpdate (moeten) worden. Naja, met uitzondering van deze dan die nu een update kreeg voor iets waarvan je je mag afvragen of dat wel echt nodig was een dus niet gewoon via een normal proces kon.

En als je echt niet wil/kan wachten kan je voor de driver ook kiezen voor attestation signing, dat is wel gewoon snel.

[Reactie gewijzigd door DdeM op 22 juli 2024 19:14]

dasiro @DdeM • 22 juli 2024 20:35

Dave legt het goed uit: je "driver" (lees applicatie) draait in kernel mode (wat nodig is om alle andere software in de gaten te kunnen houden). Die moet gesigned zijn én mag niet veranderen of de signature is invalid. Als je niet meer via deze manier definition updates mag sturen, moeten die allemaal in de driver zélf zitten en dus alles verplicht opnieuw langs Microsoft gaan om het gehele testproces te doorlopen.

DdeM @dasiro • 22 juli 2024 20:57

En zoals hij ook uitlegd zou dat geen probleem zijn als dat malware definitions zijn, maar als het code is die via een omweg dan alsnog uitgevoerd kan worden is dat op zijn allerminst twijfelachtig. Maar als je dat MOET voor jou driver, dan moet je die dus gewoon attestation signed uitrollen, dan moet het wel langs MS, maar volledig geautomatiseerd en binnen een half uur.

Mosterd @DdeM • 22 juli 2024 14:34

Ik werk zelf niet met C/C++ maar hebben definition files de mogelijkheid om “uitvoerbare” code te schrijven of is het enkel zoals de naam suggereert “referentie code” of een soort van markup? Als het daadwerkelijk uitvoerbare code is tja dan is dat inderdaad malpractice.

DdeM @Mosterd • 22 juli 2024 15:32

Niet perse, je kan portable executable code perfect in een definition file vastleggen. Althans, dat is dus waar in deze video over gespeculeerd word, niet of het mogelijk is, neem aan dat een windows dev dat wel weet, maar dat dat dus kan zijn wat CrowdStrike doet.

En als de driver WHQL certified is kan het ook bijna niet anders dan dat de nieuwe code op een of andere manier geinject werd, want anders zou de hele driver weer door het HLK proces heen moeten en dat houd ook in dat het getest word op een Windows bak en worden iig de test logs nog gechecked door MS personeel, beide lijkt niet te zijn gebeurd.

[Reactie gewijzigd door DdeM op 22 juli 2024 15:36]

Morrar @Centauriprime • 22 juli 2024 14:13

Zeer goede video! Geeft ook wel het grote risico aan van dit soort beveiligingsconstructies of bijvoorbeeld anti-cheat systemen; je laadt code in de kernel en als die code niet goed werkt is je systeem de klos. Zeker in dit geval, omdat Crowdstrike hun software (driver) als "boot-start" had aangemerkt. Oftewel, de machine kan niet (her)starten zonder deze code...

Natuurlijk wel logisch dat je dit soort software niet in user land kan draaien; dan kan het andere software niet monitoren en kunnen virussen het veel makkelijker omzeilen of uitschakelen. Eigenlijk zou je hiervoor een schil net onder kernel niveau willen. Of dat het in ieder geval niet als "boot-start" aangemerkt hoeft te worden.

Ook interessant is dat ze eigenlijk nog code "side loaden" in de kernel; hun driver is weliswaar WHQL getest, maar niet hun definitie bestanden; daar kan dus vanalles in zitten. Lijkt me op zichzelf ook al best een veiligheidsrisico. Wat als iemand iets aan die code kan veranderen? Het lijkt er niet op alsof hun driver daar grondige tests op doet; hun eigen brakke code kon immers ook gewoon deze ellende veroorzaken.

[Reactie gewijzigd door Morrar op 22 juli 2024 14:20]

The Zep Man

Beveiliging en antivirus
Besturingssystemen
Microsoft Windows
Microsoft

@Morrar • 22 juli 2024 14:32

Ook interessant is dat ze eigenlijk nog code "side loaden" in de kernel; hun driver is weliswaar WHQL getest, maar niet hun definitie bestanden; daar kan dus vanalles in zitten. Lijkt me op zichzelf ook al best een veiligheidsrisico. Wat als iemand iets aan die code kan veranderen? Het lijkt er niet op alsof hun driver daar grondige tests op doet; hun eigen brakke code kon immers ook gewoon deze ellende veroorzaken.

Het kan zo zijn dat CrowdStrike's driver een handtekening verifieert van de definitiebestanden. Door derden gewijzigde code wordt daarmee simpelweg niet uitgevoerd.

Dat beschermt natuurlijk niet tegen eigen brakke (zelf ondertekende) code.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:12]

naaitsab 22 juli 2024 08:53

Als ik de procedure zo zie zal de tool een 'WinPE' image downloaden (de 'recovery' omgeving) en de stick hiermee bootable maken. Welke na het opstarten dmv Wpeinit een script start die de corrupte driver automatisch verwijderd.

Niet heel spannend maar voor PC's die zonder recovery zijn ingespoeld wel een oplossing mits je de bitlocker recovery key's hebt. Wat geen fijne zijn om in te kloppen. Het is best practice om je local admin account uit te schakelen en admin elevatie via je online credentials te doen (bijv Intune+Entra). Bij dit soort situaties kom je dan wel snel klem te zitten. Dit werkt volgens mij niet via 'veilige modus'.

Eximius @naaitsab • 22 juli 2024 08:58

LAPS via Intune inregelen. Dan heb je altijd een lokaal account met adminrechten, ook in safemode.

naaitsab @Eximius • 22 juli 2024 09:29

Ik weet niet of de Cloudstrike driver zich als netwerk component meld. Zo ja dan moet je de meest kale versie van 'safe mode' gebruiken dus zonder netwerk en internet. Als de key-rotation plaats moet vinden weet ik niet of dat gaat werken als de machine al enige tijd niet is benaderd door een admin/LAPS? Wellicht is deze policy onderhand wel aangepast dat dit wel mogelijk is en de rotatie pas na de login wordt afgedwongen.

Het blijft altijd wel bijzonder dat security adviezen vaak tegenstrijdig zijn. Tussen producent (Microsoft) en externe bedrijven. Zo zegt het ene. Geen local admin accounts en doe alles met token elevatie (inloggen met pietje.puk.admin@bedrijf.nl in de UAC prompt) en de andere zegt gebruik LAPS "zonder" online admin account.

Blokker_1999

Besturingssystemen
Bugs
Crowdstrike
Microsoft Windows
Microsoft
Beveiliging en antivirus

@naaitsab • 22 juli 2024 10:07

admin rechten moet je zoveel mogelijk vermijden. Met token elevatie, zoals bijvoorbeeld met EPM, beperk je de rechten die je geeft aan een gebruiker tot het absolute minimum en heb je ook nog eens logging van de acties die ondernomen worden. Dat heeft uiteraard de voorkeur.

Als het misgaat en je moet gewoon lokale admin rechten hebben, dan heb je liefst zoiets als LAPS op zijn plaats. Het zorgt ervoor dat op elke PC een lokaal admin account staat met een uniek wachtwoord. Dit voorkomt dan weer dat men eenvoudig een wachtwoord van de ene PC kan gebruiken om op alle PCs aan te melden. En met de nieuwe versie van LAPS wordt het nog dynamischer dan dat.

Er zijn geen tegenstrijdige adviezen.Elk van deze tools heeft een ander doel en ga je op een ander moment inzetten.

naaitsab @Blokker_1999 • 22 juli 2024 11:22

Het heeft beide z'n voor en tegens. Wellicht gaan we nu wat te veel de diepte c.q. offtopic maar het is vooral afhankelijk welk type malware je wilt dwarsbomen denk ik. Een van de meest gevaarlijke blijft het onderscheppen van auth tokens. Al kan het local admin account ook weer misbruikt worden om malware te elevaten en zo te verspreiden en/of het endpoint te besmetten met dingen als credential stealers en AV onklaar maken met alle gevolgen van dien.

Aan de andere kant als je ziet hoe creatief malware boeren tegenwoordig zijn om zelfs zonder admin rechten een process te kunnen elevaten tot NT-System. Dmv obfuscated code die in het zero-day stadium door geen enkele AV wordt afgevangen vraag je jezelf af hoe je als getarget bedrijf daar tegenop kan treden.

Mitigatie van de gevolgen zijn veel belangrijker dan preventie geworden. De tijd dat goeie security bestond uit een 'strakke internet-facing firewall en spam-filter' is wel lang en breed voorbij. Helaas hoor ik dat nog al te vaak bij bedrijven.

OruBLMsFrl @naaitsab • 22 juli 2024 11:47

Een local admin account dat niet is ingelogd daar kun je ook geen auth tokens van onderscheppen. LAPS met elke lokale admin steeds weer een ander random password per computer, is behoorlijk veilig.

De andere zaken die je noemt gaan wat al te zeer off topic, maar in het algemeen geldt steeds meer dat afwijkend gedrag detecteren een van de betere aanvullingen is op elke technische security suite. Afwijkend gedrag brengt uiteindelijk alles aan het licht van insider threats tot en met command and control malware tot en met een technische storing. Als je afwijkend gedrag snel genoeg kan detecteren en terug kan leiden tot waar van toepassing een patient zero, en paraat bent om daarop in te grijpen, dan heb je daarmee een behoorlijk robuust vangnet om alle andere beveiligingsmaatregelen heen. Het gaat steeds meer om meerdere laagjes en daarbij laagjes die goed samenwerken om een totaalbeeld te maken, in plaats van één grote ultieme technische tool.

Blokker_1999

Besturingssystemen
Bugs
Crowdstrike
Microsoft Windows
Microsoft
Beveiliging en antivirus

@Eximius • 22 juli 2024 09:08

En dat gaat zelfs verder. Je kan via de nieuwe LAPS zelfs afdwingen dat na gebruik het wachtwoord automatisch weer roteert en dat desktopsessies na een bepaalde tijd weer afgemeld worden.

Kan ook zonder intune, als ik me niet vergis, op nieuwere OSen, met de juiste GPOs.

--edit--
damn mobile keyboards

[Reactie gewijzigd door Blokker_1999 op 22 juli 2024 13:17]

Accretion @Eximius • 22 juli 2024 10:12

Wel zorgen dat je PC's die uit het domein verwijderd worden, nog terug te plaatsen zijn.

Als ze niet meer in Entra staan, kun je binnen InTune ook geen LAPS meer genereren (en niet meer inloggen als normale user).
En als je Bitlocker key ook in die omgeving stond, kun je eigenlijk alleen nog een clean-install doen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Eximius • 22 juli 2024 12:29

Een lokaal admin account kan natuurlijk ook gewoon zonder LAPS. Wat LAPS doet is het local admin wachtwoord managent adhv policy instellingen. Het is best practice om het local admin account uit te schakelen zoals @naaitsab al aangeeft.

theduke1989 @naaitsab • 22 juli 2024 09:24

Ik denk dat de meeste bedrijven wel gewoon zo'n bitlocker key hebben etc. Dus kunnen dit prima uitvoeren.
Daarnaast de imact devices vermoed ik zijn allemaal business assets, geen huis-tuin-keuken gebruikers die getroffen zijn.

Verwijderd @theduke1989 • 22 juli 2024 09:37

bitlockerkeys doe je vaak centraal op domaincontrollers.

Frij5fd @Verwijderd • 22 juli 2024 11:26

Bij ons bedrijf (1200 werknemers, semi-overheid) moesten medewerkers zelf een bitlocker key bepalen. Bij elke reboot nodig. Ik neem aan dat die keys niet centraal ook nog een keer vergaard en bewaard worden.
De recovery keys waarschijnlijk wel, maar als die even groot/lang zijn als de bitlocker recovery key van mijn thuis-laptop dan is het irritant werk om die te moeten gaan gebruiken 😳

[Reactie gewijzigd door Frij5fd op 22 juli 2024 13:17]

memphis @Frij5fd • 22 juli 2024 11:41

Dat is niet de bitlocker key dat is een boot passwoord dat bij het activeren van bitlocker mogelijk is.

supersnathan94

Netwerk

@Frij5fd • 22 juli 2024 12:34

Dat is een key naast de bitlocker key. Bitlocker key ontgrendeling in principe. Een 6 cijferige pin die als eufi protection staat.

Vandaar dat het nog geen anderhalve seconde duurt voordat je die moet invoeren.

Bitlocker keys zijn over het algemeen unieke UUIDs en daarmee praktisch niet te onthouden.

Verwijderd @Frij5fd • 22 juli 2024 18:00

Een bitlocker key is van formaat 002130-563959-533643-315590-484044-259380-247291-xxxxxx

Dat lijkt me nog een hele klus om die bij iedere boot in te moeten voeren.

... of bedoel je PIN-code. Die is 6 cijfers.

Largamelion @Verwijderd • 22 juli 2024 09:51

Bij ons zitten die keys idd in AD.

Blij dat wij geen CrowdStrike gebruiken op het werk. Overal ter plaatse gaan in de fabriek om de getroffen pc's weer bootable te maken... ik mag er niet aan denken. En dat midden in de verlofperiode, redelijke nachtmerrie.

Accretion @theduke1989 • 22 juli 2024 10:14

De recovery key is uniek voor elk apparaat en bestaat uit 48 getallen, als je zo'n vertrekhal hebt met ~200 PC's is het toch best een geklooi om die een voor een langs te gaan.

P1nGu1n

@naaitsab • 22 juli 2024 10:39

De tool gebruikt inderdaad WinPE en biedt 2 opties, waaronder 1 die meestal geen bitlocker recovery key nodig heeft:

Boot to WinPE to remediate the issue. It requires entering bitlocker recovery key if system disk is bitlocker encrypted.
Boot to WinPE configure safe mode and run repair command after entering safe mode. This option is less likely to require bitlocker recovery key if system disk is bitlocker encrypted.

Het PowerShell script dat de image genereert kan je gewoon downloaden, dan kan je zien hoe het precies werkt

https://go.microsoft.com/fwlink/?linkid=2280386

[Reactie gewijzigd door P1nGu1n op 22 juli 2024 13:17]

swhnld

@naaitsab • 22 juli 2024 10:45

Als je het goed doet, zet je de systemen op dat de data van de gebruiker gesynchroniseerd zijn met je server/cloud oplossing.
In dat geval is het een kwestie schone image inspoelen en je probleem is weg, geen recovery nodig.

Deze MS oplossing is juist nodig als je dat allemaal niet hebt geregeld, en anders data dreigt kwijt te raken.

Simon Weel @naaitsab • 22 juli 2024 09:59

de bitlocker recovery key's hebt. Wat geen fijne zijn om in te kloppen

Die staat toch gewoon in .txt bestandje op je bureaublad?

supersnathan94

Netwerk

@Simon Weel • 22 juli 2024 12:35

Nee plain text in AD controller.

kw4h 22 juli 2024 08:30

Volgens mij zijn de systeemvereisten alleen voor het systeem dat gebruikt wordt om de bootable USB drive te prepareren. Niet voor het daadwerkelijk draaien op getroffen systemen.

xoniq @kw4h • 22 juli 2024 08:38

Voor systeem beheerders handig om toe te voegen aan hun Ventoy USB stick naast allerhande andere ISO’s van GParter, clonezilla, Linux live CD enz.

Ventoy is een open source tool je in staat stelt om van meerdere ISO’s te booten, zodat je niet voor elk doel een USB hoeft te flashen. Gewoon ISO toevoegen en booten maar tot je de Ventoy boot screen krijgt.

sus @xoniq • 22 juli 2024 09:12

Maar om Ventoy te gebruiken moet je secure boot uit hebben staan, wat juist weer een no-go is voor diezelfde systeembeheerder.

nav reacties hieronder:

ik bedoel dus dt je Ventoy niet direct zo, direct, zonder poespas, zonder stappen te doorlopen kan gebruiken. Gewoon, stickje erin en gaan. Dat je een certificaat kan toevoegen, leuk. Maar dan zijn er andere opties die interessanter zijn en waar je dat allemaal niet hoeft te doen.

Los van dat je op sommige systemen het dan alsnog niet werkend hebt en je alsnog secure boot uit moet zetten.

[Reactie gewijzigd door sus op 22 juli 2024 13:17]

Ethelind @sus • 22 juli 2024 09:35

Je kan ook gewoon het certificaat inladen in het MOK database. ;-)
https://www.ventoy.net/en/doc_secure.html

Dennisb1 @Ethelind • 22 juli 2024 10:01

Dat kan zeker niet altijd, heb hier een HP Probook 450 G10 staan, nou vergeet het maar.
Secure Boot moet je via hele poespas uitzetten door een vage functie in t BIOS te veranderen.

Op geen enkele manier krijg je er een ander certificaat helaas in.

[Reactie gewijzigd door Dennisb1 op 22 juli 2024 13:17]

eelco_akker @sus • 22 juli 2024 09:38

Ventoy werkt wel met Secure Boot, 1x activeren per pc binnen Ventoy en daarna werkt dit

Zer0 @sus • 22 juli 2024 09:42

Naast het feit dat Ventoy gewoon met secure boot werkt, als beheerder lijkt het me geen probleem om secure boot tijdelijk uit te schakelen om de nodige actie uit te voeren. Ik neem aan dat je jezelf vertrouwd.

sweetdude @xoniq • 22 juli 2024 10:01

Of gewoon het het echte macgyver werk, Hirens boot cd. zit alles in om te fixen
download: Hiren’s BootCD PE 1.0.8

4Lph4Num3r1c @sweetdude • 22 juli 2024 11:31

Die heeft me idd al uit menig penibele situatie geholpen...

JayPe @kw4h • 22 juli 2024 08:40

Correct. Het leest goed, maar omdat veel van de andere vereisten gaan over de getroffen pc (heb je de bitlocker code, heb je admin rechten, etc ) gaat 't in je hoofd al snel mis. Maar als je gewoon goed leest:

Microsoft heeft ook enkele systeemvereisten gedeeld. De tool draait op elke pc met een 64-bitversie van Windows en minstens 8GB opslagruimte.

Het gaat om de systeemvereisten voor de tool die de USB stick maakt, waarmee je vervolgens de PC kunt herstellen.

3_s

@JayPe • 22 juli 2024 08:59

Het leest niet goed, want er is verwarring mogelijk

Microsoft introduceert hersteltool voor CrowdStrike-bug

Ik ging er ook van uit dat de tool het stukje code is dat op de usb-stick draait, waarbij je na opstarten de twee opties krijgt.

MikeyMan 22 juli 2024 10:26

Hoeveel sneller werkt dit dan de handmatige oplossing?
BitLocker key moet toch ingevuld worden, drie commandline regels zijn ook zo ingetikt...

Was ook getroffen, vanmorgen in twee minuten opgelost...

MindBender 22 juli 2024 09:37

Microsoft zou de het certificaat van de CrowdSrike Falcon kernel driver onmiddellijk in moeten trekken, omdat die kennelijk in staat is om ongeverifieerde code de kernel in te trekken en uit te voeren. En onmiddellijk moeten controleren welke andere certified drivers dit doen.

Voor het proberen uit te voeren van een blok met nullen is geen enkel excuus. Dat zelfs een simpele header met eye-catcher en checksum aan het einde ontbreken is crimineel nalatig. Dat het niet met een certificaat is ondertekend is, is een grote schande.

Nu is het een ‘foutje’. Hoe een blok met nullen ongetest en ongecontroleerd de deur uit kon gaan zegt ook wel wat over het bedrijf. Maar zodra iemand de ABI weet te reverse-engineeren, kan er met een nagemaakte file vijandige code in de kernel terecht komen.

MSalters @MindBender • 22 juli 2024 12:55

Basis OS architectuur: kernel drivers draaien in de kernel. Op x86 is dat Ring 0. Ik weet niet waarom jij denkt dat het bijzonder is; de meeste drivers zijn kernel drivers. User Mode Drivers zijn de uitzondering.

En je aanname dat de Falcon driver niet ondertekend is, lijkt me op dit punt ongefundeerd. Microsoft eist al jaren dat alle kernel mode drivers digitaal ondertekend zijn.

MindBender @MSalters • 22 juli 2024 16:39

De Falcon driver is absoluut ondertekend, maar de files die hij laadt (waaronder C-00000291.sys) is dat niet. En die file bevat absoluut uitvoerbare code.

Aan het begin van de file staat waarschijnlijk een array met functiepointers naar functies in de rest van de file. Het feit dat een blok nullen ongecheckt als code door een ring 0 driver uitgevoerd kan worden, is ongekend laakbaar.

Wat erger is, is dat zodra iemand heeft uitgevonden hoe je zo’n file kunt maken, wat dus de ABI is, worden functies erin gewoon op ring 0 niveau door Falcon uitgevoerd. Het is gewoon een ernstig beveiligingslek.

Zie ook Dave Plummer’s filmpje, als je meer wilt weten:
YouTube: CrowdStrike IT Outage Explained by a Windows Developer

MSalters @MindBender • 22 juli 2024 17:15

Nee, die laatste alinea is pure speculatie op dit punt. Er is 0,0 aanwijzing dat Falcon elke *.sys file zomaar uitvoert. Dat is geen "ABI" of iets dergelijks, dat is ongeïnformeerde fantasie van internet "deskundigen".

MindBender @MSalters • 22 juli 2024 17:54

Dave Plummer (zie zijn YouTube kanaal Dave’s Garage) is gezien zijn jarenlange ervaring als Microsoft Kernel ontwikkelaar toch ècht niet zomaar de eerste te beste “deskundige”.

Dave laat aan de hand van een core-dump precies zien wat er gebeurt. Met een beetje kennis van (x86) assembly is dat heel gemakkelijk te volgen. Ook Ed van Low Level Learning kwam tot een soortgelijke conclusie.

Maar je verder argument-loze ad hominem duidt niet op en een discussie in goed vertrouwen, en trollen moet je nou eenmaal niet voederen, is mij ooit verteld.

WhiteDog @MindBender • 22 juli 2024 10:34

CrowdStrike wordt op VIP-evenementen aan de CEO verkocht (F1 sponsering). Die ligt niet wakker van wat een tech vindt van het product en van het feit dat het product amper te managen is. CrowdStrike stuurt je achteraf met veel plezier een "consultant" om problemen op te lossen die alleen maar bestaan doordat basic functionaliteit in hun product ontbreekt. #alarmbel

yevgeny @MindBender • 22 juli 2024 11:31

EU heeft microsoft gedwongen externe bedrijven dezelfde toegang tot de kernel te bieden dan zijzelf heeft. Certificaat intrekken is dus niet mogelijk want dan volgt er een fikse boete.

Microsoft bepaalt niet welke software er op een PC draait, dat doet de eigenaar.

[Reactie gewijzigd door yevgeny op 22 juli 2024 13:17]

MSalters @yevgeny • 22 juli 2024 17:18

Ongefundeerde EU-bashing.

De EU heeft Microsoft gedwongen om software makers dezelfde API toegang te geven die het Microsoft Office team heeft. Dat was om een gelijk speelveld te geven aan applicatie-ontwikkelaars. Microsoft Office zou niet speciaal moeten zijn omdat Microsoft toevallig ook het OS ontwikkelt.

Martinspire

Microsoft
Microsoft Windows
Besturingssystemen

22 juli 2024 08:59

Ik gok dat de tool vooral voor PC's is waar je niet direct bij kunt en geen input devices aan hangen? Want het klinkt niet alsof het echt een uitkomst is waar de meesten wat aan hebben.

CivLord

@Martinspire • 22 juli 2024 12:29

Je moet er juist el bij kunnen, want je moet de bootable USB-stick inpluggen. En wanneer je bitlocker gebruikt, heb je ook een inputdevice nodig voor het invoeren van de secure key of de PIN.

Voor zover ik weet is fysieke toegang sowieso noodzakelijk, ook wanneer je het handmatig via safe-mode doet. (VM's uitgezonderd, omdat je daar ook op afstand de fysieke toegang kunt simuleren, zolang je omgeving waarin de VM's draaien op afstand toegankelijk is.)

supersnathan94

Netwerk

@CivLord • 22 juli 2024 12:38

Met VM’s kun je in principe toch rechtstreeks de disk mounten aan iets anders en het dan daarmee regelen?

CivLord

@supersnathan94 • 22 juli 2024 12:41

Klopt. Ik was gefocust op de fysieke toegang van het systeem. Bij een VM kan je inderdaad makkelijker onder de motorkap kijken zonder dat het OS van de VM actief is.

trucker0werner 22 juli 2024 12:33

Denk dat 99% van systeem bestand handmatig hebben verwijderd nadat de juiste bestand niet meer wordt gedownload als update.
Want dat was heel het probleem.

PolarBear @Alfa1970 • 22 juli 2024 09:47

De staigair die met de al beschikbare tools een hulpmiddel voor dit specifiek probleem heeft gemaakt. Ipv een stagair die zich focust op iets totaal onbelangrijks als hoe groot de oplossing was. Een USB drive met minimaal 1 GB is anno 2024 niet echt de beperkende factor.

WhiteDog @PolarBear • 22 juli 2024 10:27

Puppy Linux dev: hold my beer.

Maar die 1GB is inderdaad echt wel nodig om die oneindig lange lijst van hardware (drivers) maximaal te ondersteunen.

Alfa1970 @WhiteDog • 22 juli 2024 11:23

Alle nodige functionaliteit om een bestand aan te spreken op een opslag medium zitten in het BIOS/UEFI.
Geen extra drivers op het bootmedium noodzakelijk dus.
En een bericht afdrukken op het scherm kan ook met BIOS/UEFI instructies, dus wederom geen extra drivers noodzakelijk.

Ik snap best wel dat een USB stick van 1GB geen probleem is, die krijg je "gratis bij aankoop van een bezemsteel bij de Action".
Het verbaast me alleen dat er zoveel ruimte nodig is voor zoiets basaal als het wissen van een bestand.
Het enige dat ik mij voor kan stellen dat relatief veel ruimte in beslag neemt is BitLocker. Maar dan nog 1GB is heel veel ruimte.

yevgeny @Alfa1970 • 22 juli 2024 12:26

UEFI ondersteunt fat/fat32 maar geen NTFS en ook geen ext4.

EFI partition is fat32 geformateerd

Alfa1970 @yevgeny • 22 juli 2024 12:52

De EFI partitie is inderdaad FAT32, maar er is een ntfs driver in UEFI.
ntfs_x64.efi
Microsoft heeft een hele dikke vinger in de UEFI pap.

yevgeny @Alfa1970 • 22 juli 2024 13:48

NTFS staat niet in de uefi spec.

Alfa1970 @yevgeny • 22 juli 2024 15:23

Er staat heel veel niet in de UEFI spec, maar het zit wel op elk systeem ingebakken.
De spec omschrijft een minimale standaard, en niet wat er nog meer bestaat.

Accretion @Alfa1970 • 22 juli 2024 10:27

Het valt ergens wel mee dat ze een OS 'Windows Pocket Edition' in 1GB kunnen doen.
Een normale Windows installatie of zelfs Ubuntu installer (die als 'live omgeving' kan draaien) is veel groter.

Alfa1970 @Accretion • 22 juli 2024 11:46

Vanuit mijn oogpunt, zelfs als je het volledige OS als bouwstenen wilt gebruiken:
De Windows kernel is 5-7MB, alles wat essentieel is voor het managen van system resources, hardware en processen.
De ntfs.sys file system driver is ergens tussen 1 en 2 MB.
cmd.exe is 300-500kb.
Laten we zeggen 10MB tops voor een volledig werkende cli omgeving.
En als je picky wilt zijn, de HAL tussen kernel en userland, is een paar kilobyte, m.i. verwaarloosbaar ten opzichte van de rest.

jmzeeman @DoctorBazinga • 22 juli 2024 09:35

Lijkt me duidelijk toch:

Ongewenst
Flamebaits, trolls, misplaatste grappen, onnodig kwetsende reacties en andere reacties die in strijd zijn met onze algemene voorwaarden of huisregels.

[Reactie gewijzigd door jmzeeman op 22 juli 2024 13:17]

CH4OS @DoctorBazinga • 22 juli 2024 08:54

Je vraagt je af waarom je -1 krijgt, maar dat moge duidelijk zijn. Daarnaast loop je met jouw “grapje” achter de feiten aan. Ook heeft het totaal niet inhoudelijk met het artikel te maken.

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:17]

DrPoncho @DoctorBazinga • 22 juli 2024 09:26

Je krijgt -1 omdat je de discussie politiek maakt, wat ongewenst is.

CH4OS @DoctorBazinga • 22 juli 2024 09:32

De reactie heeft totaal geen relatie tot het artikel (is daarmee al maximaal een 0), het "grapje" is niet grappig, zeker omdat je ook iets over brain(strike) roept over iemand die met geen mogelijkheid zich verdedigen kan/zal alhier (wat gewoon ongewenst is en dus een punt aftrek, 0 - 1...

).

Vervolgens voeg je toe dat je eigenlijk ook geen fan bent van de tegenpartij (wat zelfs niets toevoegt aan jouw "grapje") en uiteindelijk doe je je beklag over het feit dat je -1 krijgt (voor dit laatste mag eventueel ook weer eventueel een punt aftrek worden gegeven (-1, -1, al kan je niet veel lager meer scoren, het is weer niet zo erg dat het naar -2 moet en niemand de reactie meer ziet).

Voor verdere discussie over de moderatie verwijs ik je naar het forumtopic: Het kleine-mismoderatietopic deel XXX, al geef ik je er weinig kans van slagen.

offtopic:
Daarnaast is het niet ongebruikelijk dat een kandidaat zich terugtrekt en dan zijn (volledige) steun uitspreekt over een andere kandidaat, dus zo miraculeus is dat niet. Binnen een partij heb je dan dus altijd wel een "backup" kandidaat, waar dit eigenlijk een tool is van een 3rd party om te helpen het issue op te lossen dat CrowdStrike veroorzaakt heeft, dus de vergelijking met de back-up (wat dan een 1st party backup zou moeten zijn) raakt eigenlijk ook kant noch wal.

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:17]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (74)

Sorteer op:

Weergave: