Bei weltweiten Problemen mit Windows, die es in die 20 Uhr Nachrichten schaffen und für die die ARD sogar einen Brennpunkt bringt, tönt es aus der Linux Ecke schnell hämisch Aussagen wie “Mit Linux wäre das nicht passiert”.
Das ist natürlich häufig Unsinn, im Falle von CrowdStrike aber tatsächlich gar nicht so falsch.
Auf der einen Seite besitzt systemd einen Mechanismus, welcher im Fall eines nicht erfolgreichen Bootvorgangs automatisch auf eine vorherige Version zurück fallen kann.
Lennart Poettering, Entwickler von systemd bei Microsoft, schreibt dazu:
So, if you ask me what my takeaway from the Crowdstrike issue is, I’d say: boot counting/boot assessment/automatic fallback should really be a MUST for today’s systems. Before you invoke your first kernel you need have tracking of boot attempts and a logic for falling back to older versions automatically. It’s a major shortcoming that this is not default behaviour of today’s distros, in particular commercial ones.
Of course systemd has supported this for a long time:
Quelle: @pid_eins@mastodon.social
Auf der anderen Seite können unter Linux Erweiterungen für den Kernel so gebaut werden, weil es dort bereits eine entsprechende Schnittstelle gibt, die von Software wie der von Crowdstrike genutzt werden kann und diese von Crowdstrike inzwischen auch genutzt wird.
Matthew Garrett, Information Security Architect bei Aurora und früher u.a. bei Red Hat und Google beschäftigt, schreibt:
“Linux would have prevented this!” literally true because my former colleague KP Singh wrote a kernel security module that lets EDR implementations load ebpf into the kernel to monitor and act on security hooks and Crowdstrike now uses that rather than requiring its own kernel module that would otherwise absolutely have allowed this to happen, so everyone please say thank you to him
Quelle: @mjg59@nondeterministic.computer
P.S.: Um das Coverbild zu erstellen habe ich in einer Windows 10 VM in der Powershell einfach wininit aufgerufen.