Empresas de todo el mundo se han visto afectadas por interrupciones generalizadas en sus estaciones de trabajo Windows debido a una actualización defectuosa lanzada por la empresa de ciberseguridad CrowdStrike.

«CrowdStrike está trabajando activamente con los clientes afectados por un defecto detectado en una única actualización de contenido para los hosts de Windows», dijo el director ejecutivo de la empresa, George Kurtz, en un comunicado . «Los hosts de Mac y Linux no se ven afectados. No se trata de un incidente de seguridad ni de un ciberataque».

La compañía, que reconoció «informes de [ pantallas azules de la muerte ] en hosts de Windows», dijo además que ha identificado el problema y que se ha implementado una solución para su producto Falcon Sensor, instando a los clientes a consultar el portal de soporte para obtener las últimas actualizaciones.

Para los sistemas que ya se han visto afectados por el problema, las instrucciones de mitigación se enumeran a continuación:

  • Arranque Windows en modo seguro o en el entorno de recuperación de Windows
  • Vaya al directorio C:\Windows\System32\drivers\CrowdStrike
  • Busque el archivo llamado «C-00000291*.sys» y elimínelo
  • Reinicie la computadora o el servidor normalmente

Vale la pena señalar que la interrupción también afectó a Google Cloud Compute Engine, lo que provocó que las máquinas virtuales de Windows que usan csagent.sys de CrowdStrike se bloqueen y entren en un estado de reinicio inesperado.

«Tras recibir automáticamente un parche defectuoso de CrowdStrike, las máquinas virtuales de Windows se bloquean y no pueden reiniciarse», afirma . «Las máquinas virtuales de Windows que están en funcionamiento ya no deberían verse afectadas».

Microsoft Azure también publicó una actualización similar, indicando que «recibió informes de recuperación exitosa de algunos clientes que intentaron múltiples operaciones de reinicio de máquinas virtuales en las máquinas virtuales afectadas» y que «pueden ser necesarios varios reinicios (se han informado hasta 15)».

Amazon Web Services (AWS), por su parte, dijo que ha tomado medidas para mitigar el problema en tantas instancias de Windows, espacios de trabajo de Windows y aplicaciones de Appstream como sea posible, y recomendó a los clientes aún afectados por el problema que «tomen medidas para restaurar la conectividad».

El investigador de seguridad Kevin Beaumont dijo : «Obtuve el controlador CrowdStrike que enviaron a través de una actualización automática. No sé cómo sucedió, pero el archivo no es un controlador con un formato válido y hace que Windows se bloquee cada vez».

«CrowdStrike es el producto EDR de primer nivel y está presente en todo, desde puntos de venta hasta cajeros automáticos, etc. Probablemente, este será el mayor incidente ‘cibernético’ a nivel mundial en términos de impacto».

Entre los muchos sectores afectados se encuentran aerolíneas, instituciones financieras, cadenas de alimentación y venta minorista, hospitales, hoteles, organizaciones de noticias, redes ferroviarias y empresas de telecomunicaciones . Las acciones de CrowdStrike se desplomaron un 15% en las operaciones previas a la apertura del mercado en Estados Unidos.

«El evento actual parece, incluso en julio, ser uno de los problemas cibernéticos más importantes de 2024», dijo Omer Grossman, director de información (CIO) de CyberArk, en una declaración compartida con The Hacker News. «El daño a los procesos comerciales a nivel global es dramático. El error se debe a una actualización de software del producto EDR de CrowdStrike».

«Se trata de un producto que se ejecuta con privilegios elevados y que protege los puntos finales. Un mal funcionamiento de este puede provocar, como estamos viendo en el incidente actual, un bloqueo del sistema operativo».

Se espera que la recuperación tome días ya que el problema debe resolverse manualmente, punto final por punto final, iniciándolos en Modo seguro y eliminando el controlador con errores, señaló Grossman, y agregó que la causa raíz detrás del mal funcionamiento será de «máximo interés».

Jake Moore, asesor de seguridad global de la empresa de ciberseguridad eslovaca ESET, dijo a The Hacker News que el incidente sirve para resaltar la necesidad de implementar múltiples «medidas de seguridad» y diversificar la infraestructura de TI.

«Las actualizaciones y el mantenimiento de sistemas y redes pueden incluir involuntariamente pequeños errores que pueden tener consecuencias de amplio alcance, como las que experimentaron hoy los clientes de CrowdStrike», dijo Moore.

«Otro aspecto de este incidente se relaciona con la ‘diversidad’ en el uso de infraestructura de TI a gran escala. Esto se aplica a sistemas críticos como sistemas operativos (OS), productos de ciberseguridad y otras aplicaciones implementadas (a escala) globalmente. Cuando la diversidad es baja, un solo incidente técnico, por no mencionar un problema de seguridad, puede provocar interrupciones a escala global con posteriores efectos secundarios».

El desarrollo se produce mientras Microsoft se está recuperando de una interrupción separada que causó problemas con las aplicaciones y servicios de Microsoft 365, incluidos Defender, Intune, OneNote, OneDrive para la Empresa, SharePoint Online, Windows 365, Viva Engage y Purview.

«Un cambio de configuración en una parte de nuestras cargas de trabajo de backend de Azure provocó una interrupción entre los recursos de almacenamiento y de cómputo, lo que resultó en fallas de conectividad que afectaron a los servicios posteriores de Microsoft 365 que dependen de estas conexiones», dijo el gigante tecnológico .

Omkhar Arasaratnam, gerente general de OpenSSF, dijo que las interrupciones de Microsoft-CrowdStrike subrayan la fragilidad de las cadenas de suministro monoculturales y enfatizaron la importancia de la diversidad en las pilas de tecnología para una mayor resiliencia y seguridad.

«Las cadenas de suministro monoculturales (un solo sistema operativo, un solo EDR) son inherentemente frágiles y susceptibles a fallas sistémicas, como hemos visto», señaló Arasaratnam. «Una buena ingeniería de sistemas nos indica que los cambios en estos sistemas deben implementarse gradualmente, observando el impacto en pequeñas partes en lugar de hacerlo de una sola vez. Los ecosistemas más diversos pueden tolerar cambios rápidos, ya que son resilientes a problemas sistémicos».

Fuente y redacción: thehackernews.com

Compartir