Disculpas y explicaciones. Después de la interrupción masiva que afectó a millones de sistemas informáticos Windows (los sistemas Linux y MacOS no se vieron afectados) después de una actualización de software Golpe de masas El director ejecutivo de la editorial estadounidense de seguridad se dirigió a sus clientes y socios. "Quiero disculparme sinceramente con todos ustedes por la interrupción del servicio de hoy. Todos en CrowdStrike comprendemos la gravedad y el impacto de la situación", ha explicado George Kurtz, fundador y director general de CrowdStrike. En su mensaje, el directivo reiteró el mensaje anterior de la empresa de que el incidente, que dejó fuera de servicio a millones de ordenadores en todo el mundo el viernes 19 de julio, no fue el resultado de un ciberataque. Un escenario que tampoco han previsto en esta fase Anssi y CERT-FR.

Índice
  1. ¿Qué causó el bloqueo de CrowdStrike?
  2. ¿Qué problema hubo con la actualización de CrowdStrike?
  3. ¿Qué tan grave es este incidente?
  4. Resolución rápida pero recuperación lenta

¿Qué causó el bloqueo de CrowdStrike?

La interrupción fue causada por una actualización defectuosa del sensor Falcon Sensor Agent que se envió automáticamente a todos los hosts de Windows que lo tenían el viernes 19 de julio a las 04:09 UTC (06:09 CET) y se envió una solución 79 minutos después, dijo la compañía el sábado. Por supuesto, ya era demasiado tarde porque muchos sistemas que habían recibido la actualización ya estaban fuera de línea. "Los sistemas que usaban Falcon Sensor para Windows 7.11 y versiones posteriores que descargaron la configuración actualizada entre las 04:09 UTC y las 05:27 UTC fueron susceptibles a una interrupción del sistema", indica la entrada del blogEn algunos casos, estas interrupciones de los sistemas que utilizan el sensor Falcon han provocado la pérdida de vuelos, el cierre de centros de atención telefónica y la cancelación de cirugías, ya que muchos sistemas Windows afectados mostraban la infame Pantalla Azul de la Muerte. Sin embargo, George Kurtz insistió en su carta en que “no hay impacto en la protección si se instala el sensor Falcon”. Eso puede ser cierto para los sistemas que no recibieron la actualización para el contenido defectuoso y, estrictamente hablando, un sistema que ya no funciona no necesita protección, pero los clientes afectados se preguntarán si CrowdStrike realmente protegió sus sistemas durante esos críticos 79 minutos.

¿Qué problema hubo con la actualización de CrowdStrike?

CrowdStrike actualiza los archivos de configuración de sus soluciones de endpoint que forman parte de su plataforma Falcon varias veces al día. Estas actualizaciones se denominan Archivos de canal. La falla se encuentra en un archivo llamado Canal 291. Este archivo se almacena en un directorio llamado “C:\NWindows\NSystem32\Ndrivers\NCrowdStrike\N” y tiene un nombre que comienza con C-00000291- y termina con .sys. A pesar de la ubicación y el nombre del archivo, no es un controlador de kernel de Windows, insistió CrowdStrike. El archivo de canal 291 se utiliza para pasar información al sensor Falcon sobre cómo evaluar si se está ejecutando una canalización con nombre. Los sistemas Windows utilizan estas canalizaciones para la comunicación entre sistemas o entre procesos, y no representan una amenaza en sí mismas, aunque pueden usarse de forma indebida. La actualización que se produjo a las 04:09 UTC se diseñó para identificar canalizaciones con nombre maliciosas observadas recientemente utilizadas por estructuras C2. [commande et contrôle] Es algo habitual en los ciberataques, explica la publicación técnica del blog del proveedor. Pero esta actualización de configuración desencadenó un error lógico que provocó el bloqueo del sistema operativo.

¿Qué tan grave es este incidente?

Microsoft anunció el sábado 20 de julio la cantidad de hosts de Windows afectados por esta interrupción. "Actualmente estimamos que la actualización de CrowdStrike afectó a 8,5 millones de puntos finales de Windows, o menos del uno por ciento de todas las máquinas de Windows". ha explicado David Weston, vicepresidente corporativo de la unidad de negocios Enterprise and OS Security de Microsoft. "Aunque el porcentaje es pequeño, los importantes impactos económicos y sociales reflejan el uso de CrowdStrike por parte de empresas que gestionan muchos servicios críticos". Si bien el ejecutivo señala que este incidente no fue causado por Microsoft, el editor indica que ha respondido para ayudar a las empresas a volver a poner en línea sus sistemas colaborando con CrowdStrike para automatizar su trabajo de desarrollo de una solución, movilizando a cientos de ingenieros y expertos para trabajar directamente con sus clientes para restablecer los servicios. publicar documentación y scripts de remediación manual, manteniendo a los clientes informados del progreso del incidente a través de Panel de control de Azure Health. Pero también colabore con otros proveedores de la nube y partes interesadas, incluidos Google Cloud Platform (GCP) y Amazon Web Services (AWS), para compartir conocimientos sobre el estado del impacto observado e informar las conversaciones en curso con CrowdStrike y los clientes.

Crowdstrike explicó unas decenas de horas más tarde que de los aproximadamente 8,5 millones de dispositivos Windows que fueron afectados, un gran número están nuevamente en línea y operativos.

Resolución rápida pero recuperación lenta

Para evitar que el problema se repitiera, bastaba con eliminar el contenido erróneo del archivo: "CrowdStrike corrigió el error lógico actualizando el contenido del archivo Channel 291. Sin embargo, esto no resolvió el problema para los muchos PC con Windows que ya habían descargado el contenido erróneo y luego se bloquearon. Para estos, CrowdStrike ha publicado Otra publicación de blog que contiene una serie mucho más larga de acciones que deben tomar los clientes afectadoscon sugerencias para la detección remota y la recuperación automática de los sistemas afectados, así como instrucciones detalladas para soluciones temporales para las máquinas físicas o los servidores virtuales afectados. “Los sistemas que no están afectados actualmente seguirán funcionando como se espera, brindarán protección y no corren el riesgo de sufrir este evento en el futuro”, afirma Crowdstrike.

"En colaboración con nuestros clientes, hemos probado una nueva técnica para acelerar la restauración de los sistemas afectados", Crowdstrike anunció recientemente"Estamos en el proceso de implementar un sistema de aceptación de esta técnica. Estamos avanzando minuto a minuto. Reconocemos el profundo impacto que esta situación ha tenido en todos. Sabemos que nuestros clientes, socios y sus equipos de TI están trabajando incansablemente y les estamos profundamente agradecidos. Pedimos disculpas por la interrupción que esto ha causado. Nuestro objetivo es claro: restaurar todos los sistemas lo antes posible. Continuaremos brindando actualizaciones a medida que haya información disponible y se implementen nuevas correcciones".