Empresas de todo el mundo han sido afectadas por interrupciones generalizadas en sus estaciones de trabajo con Windows debido a una actualización defectuosa enviada por la empresa de ciberseguridad CrowdStrike.
«En CrowdStrike estamos trabajando activamente con los clientes afectados por un defecto encontrado en una sola actualización de contenido para hosts de Windows. Los hosts de Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque», dijo el CEO de la empresa, George Kurtz, en un comunicado.
La compañía, que reconoció «informes de [pantallas azules de la muerte] en hosts de Windows», también afirmó que ha identificado el problema y ha implementado una solución para su producto Falcon Sensor, instando a los clientes a consultar el portal de soporte para obtener las últimas actualizaciones.
Para los sistemas que ya han sido afectados por el problema, las instrucciones de mitigación son las siguientes:
- Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.
- Ir al directorio C:\Windows\System32\drivers\CrowdStrike.
- Buscar el archivo llamado «C-00000291*.sys» y eliminarlo.
- Reiniciar el ordenador o servidor normalmente.
Cabe señalar que la interrupción también ha afectado a Google Cloud Compute Engine, haciendo que las máquinas virtuales de Windows que utilizan csagent.sys de CrowdStrike se bloqueen y entren en un estado de reinicio inesperado.
«Después de recibir automáticamente un parche defectuoso de CrowdStrike, las máquinas virtuales de Windows se bloquean y no pueden reiniciarse. Las máquinas virtuales de Windows que están actualmente en funcionamiento ya no deberían verse afectadas», se informó.
Microsoft Azure también publicó una actualización similar, afirmando que «ha recibido informes de recuperación exitosa de algunos clientes que intentaron múltiples operaciones de reinicio de máquinas virtuales afectadas» y que «pueden ser necesarios varios reinicios (se han reportado hasta 15)».
Amazon Web Services (AWS), por su parte, dijo que ha tomado medidas para mitigar el problema en la mayor cantidad posible de instancias de Windows, espacios de trabajo de Windows y aplicaciones Appstream, recomendando a los clientes aún afectados que «tomen medidas para restaurar la conectividad».
El investigador de seguridad Kevin Beaumont dijo: «He obtenido el controlador de CrowdStrike que se envió a través de la actualización automática. No sé cómo sucedió, pero el archivo no es un controlador válido y causa que Windows se bloquee cada vez».
«CrowdStrike es el producto EDR de primer nivel y está en todo, desde puntos de venta hasta cajeros automáticos, etc. – esto probablemente será el mayor incidente ‘cibernético’ a nivel mundial en términos de impacto».
Aerolíneas, instituciones financieras, cadenas de alimentos y minoristas, hospitales, hoteles, organizaciones de noticias, redes ferroviarias y empresas de telecomunicaciones se encuentran entre los muchos negocios afectados. Las acciones de CrowdStrike han caído un 15 % en el comercio previo a la apertura en EE.UU.
“El evento actual parece – incluso en julio – que será uno de los problemas cibernéticos más significativos de 2024. El daño a los procesos empresariales a nivel global es dramático. El fallo se debe a una actualización de software del producto EDR de CrowdStrike”, dijo Omer Grossman, Director de Información (CIO) de CyberArk, en un comunicado
“Este es un producto que se ejecuta con altos privilegios y protege los endpoints. Una falla en esto puede, como estamos viendo en el incidente actual, causar que el sistema operativo se bloquee”.
Se espera que la recuperación tome días ya que el problema debe resolverse manualmente, punto por punto, iniciando en Modo Seguro y eliminando el controlador defectuoso, señaló Grossman, agregando que la causa raíz detrás del mal funcionamiento será de «máximo interés».
Jake Moore, asesor de seguridad global en la empresa de ciberseguridad eslovaca ESET, dijo a The Hacker News que el incidente resalta la necesidad de implementar múltiples «salvaguardias» y diversificar la infraestructura de TI.
“Las actualizaciones y el mantenimiento de sistemas y redes pueden incluir errores pequeños de manera no intencionada, que pueden tener consecuencias de gran alcance como la experimentada hoy por los clientes de CrowdStrike”, dijo Moore.
“Otro aspecto de este incidente se relaciona con la ‘diversidad’ en el uso de infraestructura de TI a gran escala. Esto se aplica a sistemas críticos como sistemas operativos (OS), productos de ciberseguridad y otras aplicaciones desplegadas a nivel global. Donde la diversidad es baja, un solo incidente técnico, sin mencionar un problema de seguridad, puede llevar a interrupciones a escala global con efectos colaterales subsecuentes”.
El desarrollo se produce mientras Microsoft se recupera de una interrupción separada que causó problemas con las aplicaciones y servicios de Microsoft 365, incluidos Defender, Intune, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage y Purview.
“Un cambio de configuración en una parte de nuestras cargas de trabajo de backend de Azure causó una interrupción entre los recursos de almacenamiento y cálculo, lo que resultó en fallos de conectividad que afectaron a los servicios de Microsoft 365 dependientes de estas conexiones”, dijo el gigante tecnológico.
Omkhar Arasaratnam, gerente general de OpenSSF, dijo que las interrupciones de Microsoft-CrowdStrike subrayan la fragilidad de las cadenas de suministro monoculturales y enfatizó la importancia de la diversidad en las pilas tecnológicas para una mayor resiliencia y seguridad.
“Las cadenas de suministro monoculturales (un solo sistema operativo, un solo EDR) son inherentemente frágiles y susceptibles a fallas sistémicas, como hemos visto. La buena ingeniería de sistemas nos dice que los cambios en estos sistemas deben implementarse gradualmente, observando el impacto en pequeñas porciones en lugar de hacerlo todo de una vez. Los ecosistemas más diversos pueden tolerar cambios rápidos ya que son resilientes a problemas sistémicos”, señaló Arasaratnam.