El editor de soluciones de ciberseguridad Golpe de masas El viernes 19 de julio, un ataque cibernético provocó una serie de interrupciones en los sistemas informáticos de todo el mundo, lo que afectó a muchas industrias y causó estragos en aeropuertos, instituciones financieras, centros de salud y más. La causa fue una actualización defectuosa de la plataforma de detección y respuesta a intrusiones Falcon (EDR) de CrowdStrike, que hizo que las máquinas Windows se bloquearan y entraran en un ciclo de reinicio interminable que hizo que los servidores se cayeran y provocó que aparecieran "pantallas azules de la muerte" (BSOD) en todo el mundo.

1) ¿Cómo se produjo la avería?

Las empresas australianas fueron de las primeras en informar de las dificultades el viernes por la mañana, y algunas siguieron experimentando problemas durante todo el día. En el aeropuerto de Sídney, continuaron los retrasos y las cancelaciones. A las 18:00 EST, Bank Australia publicó un anuncio en su página de inicio en el que informaba de que los servicios de su centro de atención al cliente seguían experimentando problemas.

A medida que avanza el día, las malas noticias siguen llegando. Las empresas de todo el mundo están en apuros. Los viajeros en los aeropuertos de Hong Kong, India, Berlín y Ámsterdam están experimentando retrasos y cancelaciones. La Administración Federal de Aviación de Estados Unidos dice que las aerolíneas estadounidenses han suspendido todos sus vuelos por un tiempo, informa The New York Times.

2) ¿Cuál fue el impacto de la interrupción?

CrowdStrike, una de las empresas de ciberseguridad más grandes del mundo, tiene un gran número de seguidores entre las empresas de todo el mundo. Se estima que más de la mitad de las empresas de Fortune 500 utilizan sus productos de seguridad. Como resultado, las consecuencias de la actualización defectuosa fueron de gran alcance, y algunos la calificaron como "la mayor interrupción de TI de la historia".

A modo de ejemplo, el 19 de julio se cancelaron más de 3.000 vuelos nacionales con destino a Estados Unidos y con origen en este país, y se retrasaron más de 11.000. Los aviones siguieron en tierra en los días siguientes: se cancelaron casi 2.500 vuelos y se retrasaron más de 38.000 vuelos tres días después del apagón.

La interrupción del servicio también tuvo un impacto significativo en el sector de la salud: algunos sistemas de salud y hospitales pospusieron todos o la mayoría de los procedimientos programados y los médicos se vieron obligados a volver al papel y el lápiz porque no podían acceder a los registros electrónicos.

Dada la naturaleza del parche y la popularidad del software de CrowdStrike, las organizaciones de TI han estado trabajando las 24 horas del día para restaurar sus sistemas, pero muchas todavía están atascadas en la tarea días después de que CrowdStrike lanzara la actualización defectuosa.

3) ¿Qué es CrowdStrike Falcon?

CrowdStrike Falcon es un software de detección y respuesta a incidentes para endpoints. En jerga, un EDR. Este tipo de soluciones monitorean los dispositivos de los usuarios finales en una red para detectar actividades y comportamientos sospechosos, responden automáticamente para bloquear amenazas y guardan datos de actividades consideradas riesgosas para una investigación más profunda.

Al igual que todas las plataformas EDR, CrowdStrike tiene la máxima visibilidad de todo lo que sucede en un punto final (procesos, cambios de configuración de registro, actividad de archivos y redes), que combina con capacidades de agregación y análisis de datos para reconocer y contrarrestar amenazas a través de procesos automatizados o intervención humana.

Por este motivo, Falcon es un software con muchos privilegios y un acceso muy amplio a los sistemas que supervisa, lo que lo hace muy integrado con los sistemas operativos. Un EDR también tiene la capacidad de terminar actividades que considere maliciosas. Esta estrecha integración resultó ser una debilidad para los departamentos de TI en este caso, ya que dejó las máquinas Windows inoperativas debido a la actualización defectuosa de Falcon.

Crowstrike también ha introducido capacidades de automatización impulsadas por IA en Falcon for IT, lo que, según afirma, reducirá la brecha entre las operaciones de TI y las operaciones de seguridad.

4) ¿Qué causó la caída de CrowdStrike?

En una publicación de blog publicada el 19 de julio, el director ejecutivo de CrowdStrike, George Kurtz, se disculpó con los clientes y socios de la empresa. Por otra parte, la empresa proporcionó la Primeros detalles sobre las causas del desastre. Según esta comunicación, una actualización defectuosa del contenido de su plataforma Falcon EDR se envió a las máquinas Windows a las 04:09 UTC (hora universal coordinada) del viernes 19 de julio. Un procedimiento muy común. CrowdStrike normalmente envía actualizaciones a los archivos de configuración (llamados "archivos de canal") para las sondas Falcon implementadas en los puntos finales varias veces al día.

La falla que provocó la interrupción se encontraba en el archivo de canal 291, que se almacena en “C:\NWindows\NSystem32\Ndrivers\NCrowdStrike\N” con un nombre de archivo que comienza con “C-00000291-” y termina con “.sys”. Este archivo proporciona al sensor Falcon información sobre cómo evaluar la ejecución de “ tubos con nombre ", que los sistemas Windows utilizan para la comunicación entre sistemas o procesos. Estos comandos no son maliciosos en sí mismos, aunque pueden utilizarse de forma incorrecta.

Y, específicamente, "la actualización que ocurrió a las 04:09 UTC fue diseñada para apuntar a "canalizaciones con nombre" asociadas con actividades maliciosas observadas recientemente y utilizadas por estructuras C2". [soit l'infrastructure de commande et contrôle des assaillants] "Es algo habitual en los ciberataques", explica el documento técnico de la editorial. Solo que, como especifica CrowdStrike, "la actualización de la configuración desencadenó un error lógico que provocó el bloqueo del sistema operativo".

Al reiniciarse automáticamente, los sistemas Windows con el archivo Channel 291 defectuoso instalado volvían a bloquearse, lo que provocaba un ciclo de reinicio interminable. Cabe señalar que la actualización defectuosa solo afectó a los sistemas que ejecutaban Windows, mientras que las máquinas Linux y MacOS se salvaron, según el proveedor.

5) ¿Cómo reaccionó CrowdStrike?

Según el comunicado oficial, CrowdStrike lanzó rápidamente un parche que eliminaba el contenido dañado del Channel File 291. Solo 79 minutos después de que se enviara la actualización defectuosa. Las máquinas que aún no habían sido actualizadas con el Channel File 291 no se vieron afectadas por el error del editor. Pero las máquinas que ya habían descargado el contenido dañado no tuvieron tanta suerte.

Para abordar la situación de estos sistemas estancados en un ciclo de reinicio interminable, CrowdStrike ha lanzado un Otra entrada de blog Contiene una serie de acciones a realizar. Incluye sugerencias para la detección remota y la recuperación automática de los sistemas afectados, así como instrucciones detalladas para implementar soluciones temporales para las máquinas físicas o servidores virtuales afectados, incluidos reinicios manuales.

6) ¿Cómo fue la recuperación después de la crisis?

Para muchas organizaciones, la recuperación sigue siendo un problema pendiente. Una de las soluciones propuestas para remediar los efectos de la actualización es reiniciar manualmente cada máquina en modo seguro, eliminar el archivo defectuoso y reiniciar el equipo. ¡PC por PC y servidor por servidor!

Vale la pena señalar que algunas organizaciones que tenían planes para renovar sus equipos están considerando acelerarlos para reemplazar las máquinas afectadas en lugar de comprometer los recursos necesarios para reparar su flota a mano.

7) ¿Cuáles son las implicaciones de este fracaso para CrowdStrike?

Además de reparar sus máquinas Windows, los administradores de TI y sus equipos están evaluando las lecciones aprendidas de esta interrupción masiva, y muchos buscan evitar puntos únicos de falla y reevaluar sus estrategias en la nube.

En cuanto a CrowdStrike, el Congreso de Estados Unidos ha pedido a su director ejecutivo que testifique en una audiencia sobre la interrupción tecnológica. Según el New York Times, Mark Green (un republicano electo a la Cámara de Representantes), presidente del Comité de Seguridad Nacional, y el representante Andrew Garbarino (otro republicano electo) enviaron una carta a George Kurtz. Los estadounidenses “merecen saber en detalle cómo ocurrió este incidente y qué medidas de mitigación ha tomado CrowdStrike”, escribieron, según el New York Times.