Ciberseguridad 360 | Actualización defectuosa de CrowdStrike bloquea los sistemas Windows y afecta a empresas de todo el mundo

Empresas de todo el mundo se han visto afectadas por interrupciones generalizadas en sus estaciones de trabajo Windows como consecuencia de una actualizaci�n defectuosa distribuida por la empresa de ciberseguridad CrowdStrike.

"CrowdStrike est� trabajando activamente con los clientes impactados por un defecto encontrado en una �nica actualizaci�n de contenido para hosts Windows", dijo el CEO de la compa��a, George Kurtz, en un comunicado. "Los hosts Mac y Linux no est�n impactados. Esto no es un incidente de seguridad o un ciberataque".

La compa��a, que reconoci� "informes de [Pantallas Azules de la Muerte] en hosts Windows", dijo adem�s que ha identificado el problema y se ha desplegado una soluci�n para su producto Falcon Sensor, instando a los clientes a referirse al portal de soporte para las �ltimas actualizaciones.

Para los sistemas que ya se han visto afectados por el problema, las instrucciones de mitigaci�n se enumeran a continuaci�n:

Arranque Windows en modo seguro o en el entorno de recuperaci�n de Windows

Vaya al directorio C:\Windows\System32\drivers\CrowdStrike

Busque el archivo �C-00000291*.sys� y elim�nelo.

Reinicie el ordenador o el servidor normalmente

Cabe se�alar que la interrupci�n tambi�n ha afectado a Google Cloud Compute Engine, provocando que las m�quinas virtuales de Windows que utilizan csagent.sys de CrowdStrike se bloqueen y pasen a un estado de reinicio inesperado.

"Despu�s de haber recibido autom�ticamente un parche defectuoso de CrowdStrike, las m�quinas virtuales de Windows se bloquean y no podr�n reiniciarse", dijo. "Las m�quinas virtuales de Windows que est�n actualmente en funcionamiento ya no deber�an verse afectadas".

Microsoft Azure tambi�n ha publicado una actualizaci�n similar, afirmando que "recibi� informes de recuperaci�n exitosa de algunos clientes que intentaron m�ltiples operaciones de reinicio de m�quinas virtuales en las m�quinas virtuales afectadas" y que "pueden ser necesarios varios reinicios (se han reportado hasta 15)."

Amazon Web Services (AWS), por su parte, dijo que ha tomado medidas para mitigar el problema para el mayor n�mero posible de instancias de Windows, Windows Workspaces y aplicaciones Appstream, recomendando a los clientes que todav�a se ven afectados por el problema que "tomen medidas para restaurar la conectividad."

El investigador de seguridad Kevin Beaumont dijo "He obtenido el controlador CrowdStrike que empujaron a trav�s de actualizaci�n autom�tica. No s� c�mo sucedi�, pero el archivo no es un controlador formateado v�lidamente y hace que Windows se bloquee cada vez".

CrowdStrike es el producto EDR de m�s alto nivel, y est� en todo, desde puntos de venta a cajeros autom�ticos, etc. Este ser� el mayor incidente "cibern�tico" en todo el mundo en t�rminos de impacto, muy probablemente.

Aerol�neas, instituciones financieras, cadenas de alimentaci�n y venta al por menor, hospitales, hoteles, organizaciones de noticias, redes ferroviarias y empresas de telecomunicaciones son algunas de las muchas empresas afectadas. Las acciones de CrowdStrike se han desplomado un 15% en las operaciones previas a la comercializaci�n en Estados Unidos.

"El evento actual parece -incluso en julio- que ser� uno de los problemas cibern�ticos m�s significativos de 2024", dijo Omer Grossman, Director de Informaci�n (CIO) de CyberArk, en un comunicado compartido con The Hacker News. "El da�o a los procesos de negocio a nivel global es dram�tico. El fallo se debe a una actualizaci�n de software del producto EDR de CrowdStrike."

"Se trata de un producto que se ejecuta con privilegios elevados y que protege los puntos finales. Un mal funcionamiento del mismo puede, como estamos viendo en el incidente actual, hacer que el sistema operativo se bloquee."

Se espera que la recuperaci�n lleve d�as, ya que el problema debe resolverse manualmente, endpoint por endpoint, inici�ndolos en Modo Seguro y eliminando el controlador defectuoso, se�al� Grossman, a�adiendo que la causa ra�z detr�s del mal funcionamiento ser� del "m�ximo inter�s."

Jake Moore, asesor de seguridad global de la empresa eslovaca de ciberseguridad ESET, declar� a The Hacker News que el incidente sirve para poner de relieve la necesidad de implantar m�ltiples "dispositivos de seguridad contra fallos" y diversificar la infraestructura inform�tica.

"Las actualizaciones y el mantenimiento de sistemas y redes pueden incluir involuntariamente peque�os errores, que pueden tener consecuencias de gran alcance como las que han experimentado hoy los clientes de CrowdStrike", dijo Moore.

"Otro aspecto de este incidente se refiere a la "diversidad" en el uso de la infraestructura inform�tica a gran escala. Esto se aplica a sistemas cr�ticos como sistemas operativos (SO), productos de ciberseguridad y otras aplicaciones desplegadas globalmente (a escala). Cuando la diversidad es escasa, un solo incidente t�cnico, por no hablar de un problema de seguridad, puede provocar interrupciones a escala mundial con los consiguientes efectos en cadena."

El desarrollo se produce mientras Microsoft se est� recuperando de una interrupci�n separada propia que caus� problemas con aplicaciones y servicios de Microsoft 365, incluyendo Defender, Intune, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage y Purview.

"Un cambio de configuraci�n en una parte de nuestras cargas de trabajo backend de Azure, provoc� la interrupci�n entre los recursos de almacenamiento y computaci�n, lo que dio lugar a fallos de conectividad que afectaron a los servicios downstream de Microsoft 365 que depend�an de estas conexiones", ha explicado el gigante tecnol�gico.

Omkhar Arasaratnam, director general de OpenSSF, dijo que las interrupciones de Microsoft-CrowdStrike subrayan la fragilidad de las cadenas de suministro monoculturales y destac� la importancia de la diversidad en las pilas tecnol�gicas para una mayor resiliencia y seguridad.

"Las cadenas de suministro monoculturales (sistema operativo �nico, EDR �nico) son intr�nsecamente fr�giles y susceptibles a fallos sist�micos, como hemos visto", se�al� Arasaratnam. "Una buena ingenier�a de sistemas nos dice que los cambios en estos sistemas deben introducirse gradualmente, observando el impacto en peque�os tramos y no de golpe. Los ecosistemas m�s diversos pueden tolerar cambios r�pidos porque son resistentes a los problemas sist�micos".

Fuente: thehackernews