Ciudad de México, 31 jul. (AMEXI).- ¿Qué ha pasado luego del apagón informático que derribó millones de dispositivos Microsoft el 19 de julio pasado, causando un caos global?
La empresa CrowdStrike publicó los resultados preliminares de lo que será una larga investigación sobre las causas fundamentales del evento.
En el “Centro de corrección y orientación: Actualización de contenido de Falcon para hosts de Windows” (Falcon Content Update Remediation and Guidance Hub | CrowdStrike), la empresa dijo que había intentado publicar una actualización de configuración de contenido para su sensor Falcon en hosts de Windows temprano en la mañana del viernes 19 de Julio.
Explicó que esta actualización de “respuesta rápida” formó parte de los mecanismos de protección dinámica normales utilizados por la plataforma Falcon para llevar a cabo actividades de detección y remediación de amenazas cibernéticas.
CrowdStrike utiliza las actualizaciones para identificar nuevos indicadores del comportamiento de los actores de amenazas y mejorar sus capacidades de detección y prevención.
La actualización fallida
Cabe señalar que Amexi informó oportunamente lo anteriormente anotado, según las declaraciones del mismo George Kurtz, fundador y director ejecutivo de CrowdStrike, en un contenido al que tuvimos acceso.
Lee: Falla global de Microsoft se resuelve con automatización, no con reinicios
En su publicación “Actualizado el 24/07/2024 0335 UTC. Revisión preliminar posterior al incidente. Actualización de la configuración de contenido que afecta al sensor Falcon y al sistema operativo Windows (BSOD). Resumen Ejecutivo PDF”, CrowdStrike señaló que las actualizaciones entregadas en la nube pasarían inadvertidas, pero esta provocó que los hosts de Windows que ejecutaban Falcon 7.11 y versiones posteriores en línea fallaran.
Cabe señalar que en febrero de 2024 se lanzó la versión 7.11 del sensor Falcon, con plantillas para detectar un nuevo mecanismo de ataque que se valía de canalizaciones accesando a un conducto de comunicación cliente-servidor.
Estas plantillas se sometieron a pruebas de estrés y se validaron para su uso antes de lanzarlas y se implementaron tres instancias de plantilla más durante las semanas siguientes sin problemas.
Hubo un autogol
El 19 de julio, al desplegar dos instancias de plantilla más para la misma técnica de ataque, en esta ocasión se verificó un error en un validador de contenido automatizado utilizado para verificar las actualizaciones, lo que permitió a uno de ellos pasar las comprobaciones de validación “a pesar de contener datos de contenido problemáticos”. Dicho de otra manera, hubo un autogol al implementarse con base en las pruebas realizadas en marzo.
Al recibirse y cargarse este contenido en el archivo de canal, resultó en una condición de memoria fuera de límites, cosa que desencadenó una excepción que excedió los sistemas operativos Windows y esta actualización con errores estuvo activa durante poco más de una hora y cuarto antes de que fuera revertida, tiempo en el cual más de 8 millones de dispositivos en todo el mundo se bloquearon con la Pantalla Azul de la Muerte.
El director ejecutivo de CrowdStrike, George Kurtz, volvió a disculparse con los clientes en esta revisión.
“Sabemos que los adversarios y los malos actores intentarán explotar eventos como este”, y “tienen mi compromiso de brindar total transparencia sobre cómo ocurrió y los pasos que estamos tomando para evitar que algo como esto vuelva a suceder”, puntualizó.
