Empresas de todo el mundo se han visto afectadas por interrupciones generalizadas en sus escritorios de Windows como resultado de una actualización defectuosa publicada por la firma de ciberseguridad CrowdStrike.
«CrowdStrike está trabajando activamente con los clientes afectados por un defecto detectado en una única actualización de contenido para hosts de Windows», dijo el director ejecutivo de la empresa, George Kurtz. dicho en un declaración“Los hosts Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque. »
La empresa, que Reconocido «informes de [Blue Screens of Death] en hosts Windows», añadió que había identificado el problema y se había implementado una solución para su producto Falcon Sensor, instando a los clientes a consultar el portal de soporte para obtener las últimas actualizaciones.
Para los sistemas que ya se han visto afectados por el problema, las instrucciones de mitigación se enumeran a continuación:
- Inicie Windows en modo seguro o en el entorno de recuperación de Windows
- Navegue al directorio C:\Windows\System32\drivers\CrowdStrike
- Busque el archivo llamado “C-00000291*.sys” y elimínelo
- Reinicie la computadora o el servidor normalmente
Cabe señalar que la interrupción también afectó a Google Cloud Compute Engine, lo que provocó que las máquinas virtuales de Windows que utilizan csagent.sys de CrowdStrike fallaran y entraran en un estado de reinicio inesperado.
«Después de recibir automáticamente un parche defectuoso de CrowdStrike, las máquinas virtuales de Windows se congelan y no pueden reiniciarse», dijo. dicho“Las máquinas virtuales Windows actualmente operativas ya no deberían verse afectadas. »
Microsoft Azure también tiene publicado una actualización similar, indicando que «ha recibido informes de recuperación exitosa de algunos clientes que intentaron múltiples operaciones de reinicio de VM en las VM afectadas» y que «pueden ser necesarios múltiples reinicios (se han informado hasta 15)».
Amazon Web Services (AWS), por su parte, dicho Ha tomado medidas para mitigar el problema para tantas instancias de Windows, espacios de trabajo de Windows y aplicaciones Appstream como sea posible, recomendando que los clientes aún afectados por el problema «tomen medidas para restaurar la conectividad».
Kevin Beaumont, investigador de seguridad dicho “Recibí el controlador CrowdStrike que me enviaron mediante actualización automática. No sé cómo sucedió esto, pero el archivo no es un controlador formateado correctamente y hace que Windows falle cada vez. »
“CrowdStrike es el principal producto EDR y está en todos los dispositivos, desde puntos de venta hasta cajeros automáticos y más. Este será probablemente el mayor incidente “cibernético” jamás registrado en el mundo en términos de impacto. »
Las líneas aéreas, las instituciones financieras, las cadenas de alimentación y minoristas, los hospitales, los hoteles, las organizaciones de noticias, las redes ferroviarias y las empresas de telecomunicaciones son entre EL mucho compañías Las acciones de CrowdStrike cayeron un 15% en las operaciones previas a la comercialización en Estados Unidos.
“El evento actual parece, incluso en julio, ser uno de los problemas cibernéticos más importantes de 2024”, dijo Omer Grossman, director de información (CIO) de CyberArk, en un comunicado compartido con The Hacker News. “El daño a los procesos empresariales a nivel mundial es dramático. El problema se debe a una actualización de software del producto EDR de CrowdStrike. »
“Este es un producto que opera con privilegios elevados y protege los puntos finales. Un mal funcionamiento de este producto puede, como vemos en el incidente actual, provocar un fallo del sistema operativo. »
Se espera que la recuperación demore varios días porque el problema debe resolverse manualmente, punto por punto, iniciándolos en modo seguro y eliminando el controlador defectuoso, enfatizó Grossman, y agregó que la causa raíz del mal funcionamiento será «de mayor interés».
Jake Moore, asesor de seguridad global de ESET, una empresa eslovaca de ciberseguridad, dijo a The Hacker News que el incidente pone de relieve la necesidad de implementar múltiples «medidas de seguridad integradas» y diversificar la infraestructura de TI.
«Las actualizaciones y el mantenimiento de sistemas y redes pueden incluir involuntariamente pequeños errores, que pueden tener consecuencias de gran alcance, como las que experimentan hoy los clientes de CrowdStrike», dijo Moore.
“Otro aspecto de este incidente se refiere a la “diversidad” en el uso de infraestructuras TI a gran escala. Esto se aplica a sistemas críticos como sistemas operativos (SO), productos de ciberseguridad y otras aplicaciones implementadas a nivel mundial. Cuando la diversidad es baja, un solo incidente técnico, y mucho menos un problema de seguridad, puede provocar interrupciones globales con repercusiones posteriores. »
El desarrollo se produce cuando Microsoft se recupera de una interrupción separada que causó problemas con las aplicaciones y servicios de Microsoft 365, incluidos Defender, Intune, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage y Purview.
«Un cambio de configuración en una parte de nuestras cargas de trabajo back-end de Azure provocó una interrupción entre el almacenamiento y los recursos informáticos, lo que provocó interrupciones de conectividad que afectaron los servicios posteriores de Microsoft 365 que dependen de esas conexiones», dijo el gigante tecnológico. dicho.
Omkhar Arasaratnam, director ejecutivo de OpenSSF, dijo que las interrupciones de Microsoft-CrowdStrike subrayan la fragilidad de las cadenas de suministro monoculturales y resaltaron la importancia de la diversidad en las pilas de tecnología para una mayor resiliencia y seguridad.
“Las cadenas de suministro monoculturales (sistema operativo único, EDR único) son inherentemente frágiles y propensas a fallas sistémicas, como hemos visto”, enfatizó Arasaratnam. “La buena ingeniería de sistemas nos dice que los cambios en estos sistemas deben implementarse gradualmente, viendo el impacto en pequeños incrementos y no todos a la vez. Los ecosistemas más diversos pueden tolerar cambios rápidos porque son resilientes a los problemas sistémicos. »
