So schnell kann es gehen – ReFS volume appears RAW

Nachdem ich jetzt gerade erst meine Firewall wieder im Normalbetrieb habe, darf ich mich heute mit einem anderen Problem herumärgern.

Eine Festplatte auf meinem Server ist nicht mehr zugreifbar.

Die Festplatte selbst ist da, aber die Daten liegen in einem unbekannten Dateisystem und damit nicht erreichbar.

Nachdem ich gestern gerade erst den Server wegen anstehender Updates neu gestartet hatte, liegt es nahe einen Zusammenhang zu vermuten.

Aber erst einmal direkt auf dem Server nachgeschaut.

Keine Fehlermeldung im Ereignisprotokoll und keine auf dem VMWare System.

Technische Ursachen sind damit zunächst weniger wahrscheinlich.

Also mit dem Server Manager einmal nachschauen, was der so sagt.

Klar kommt gleich die erste Falle für unerfahrene Anwender – beim Zugriff bietet mir das Programm gleich an, die Festplatte zu formatieren.

Neeee – nicht mit mir. Das wäre ein typischer „Anfängerfehler“.

Mit einem meiner forensischen Tools schaue ich mir die Platte genauer an.

Das Dateisystem ist ReFS und scheint in Ordnung zu sein.

Was ist da nur geschehen?

Mit dem Stichwort „ReFS“ und „Server 2019“ starte ich eine google Abfrage.

Irgendwo hatte ich doch etwas dazu gelesen. Mit einem Filter auf die letzten 4 Wochen werde ich fündig.

In solchen Momenten liebe ich das Internet  😉

https://community.veeam.com/discussion-boards-66/refs-issues-with-latest-windows-server-updates-kb5009624-kb5009557-kb5009555-2005

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fixes-for-windows-server-vpn-bugs/

https://support.microsoft.com/en-us/topic/january-18-2022-kb5010791-os-build-17763-2458-out-of-band-43697313-d8e0-4918-b6df-7f64d4d9a8cd

Also haben wir es mit einem Klassiker zu tun.

Microsoft hat ein Update veröffentlicht, in dem offensichtlich gleich mehrere Fehler waren.

Es gibt sogar eine Lösung, ein schnell nachgeschobenes out-of-band update, welches das Problem beheben soll.

Funktioniert aber leider auch nicht.

Jetzt macht sich die Erfahrung bezahlt. 40 Jahre in der IT-Branche sind eben eine gute Basis.

Es wird immer wieder beschrieben, dass dieses Problem bei „removable devices“, also herausnehmbaren Festplatten auftritt.

Mein System läuft in einer virtuellen Umgebung unter VMWare und da kann man tatsächlich im laufenden Betrieb eine Festplatte „herausnehmen“.

Es gibt einen Parameter, den man in den Einstellungen der virtuellen Maschine setzen kann, um diese Funktion abzuschalten.

devices.hotplug=false

Und siehe da – nach dem Einschalten sind meine Daten wieder verfügbar.

Als CISO sehe ich natürlich gleich wieder mein „Risikomanagement“.

Da hatten wir am Freitag eine Firewall, die wegen dem Fehler eines Herstellers ausgefallen ist.

Und heute wegen einem fehlerhaften Update des Herstellers der Verlust von 2 TB Daten.

Vielleicht sollte ich das in Zukunft noch mehr unter Beobachtung haben, die Risiken bewerten und prüfen, ob es geeignete Massnahmen gibt um etwas dagegen zu tun.

Nicht genug, dass wir uns permanent mit Angreifern beschäftigen müssen – die Hersteller scheinen ihre System auch immer schlechter im Griff zu haben.

By the way – die fehlerhaften Upates von Microsoft haben noch weitere Probleme gebracht. Es lohnt sich also, darauf einen Blick zu werfen.