Empresas de todo el mundo se han visto afectadas por interrupciones generalizadas en sus estaciones de trabajo Windows debido a una actualización defectuosa lanzada por la empresa de ciberseguridad CrowdStrike.
«CrowdStrike está trabajando activamente con los clientes afectados por un defecto detectado en una única actualización de contenido para los hosts de Windows», dijo el director ejecutivo de la empresa, George Kurtz, en un comunicado . «Los hosts de Mac y Linux no se ven afectados. No se trata de un incidente de seguridad ni de un ciberataque».
La compañía, que reconoció «informes de [ pantallas azules de la muerte ] en hosts de Windows», dijo además que ha identificado el problema y que se ha implementado una solución para su producto Falcon Sensor, instando a los clientes a consultar el portal de soporte para obtener las últimas actualizaciones.
Para los sistemas que ya se han visto afectados por el problema, las instrucciones de mitigación se enumeran a continuación:
- Arranque Windows en modo seguro o en el entorno de recuperación de Windows
- Vaya al directorio C:\Windows\System32\drivers\CrowdStrike
- Busque el archivo llamado «C-00000291*.sys» y elimínelo
- Reinicie la computadora o el servidor normalmente
Vale la pena señalar que la interrupción también afectó a Google Cloud Compute Engine, lo que provocó que las máquinas virtuales de Windows que usan csagent.sys de Crowdstrike se bloqueen y entren en un estado de reinicio inesperado.
«Tras recibir automáticamente un parche defectuoso de Cloudstrike, las máquinas virtuales de Windows se bloquean y no pueden reiniciarse», afirma . «Las máquinas virtuales de Windows que están en funcionamiento ya no deberían verse afectadas».
El investigador de seguridad Kevin Beaumont dijo : «Obtuve el controlador de Crowdstrike que enviaron a través de una actualización automática. No sé cómo sucedió, pero el archivo no es un controlador con un formato válido y hace que Windows se bloquee cada vez».
«Crowdstrike es el producto EDR de más alto nivel y está presente en todos los dispositivos, desde puntos de venta hasta cajeros automáticos, etc. Probablemente, este será el mayor incidente ‘cibernético’ a nivel mundial en términos de impacto».
Entre los muchos sectores afectados se encuentran aerolíneas, instituciones financieras, cadenas de alimentación y venta minorista, hospitales, hoteles, organizaciones de noticias, redes ferroviarias y empresas de telecomunicaciones . Las acciones de CrowdStrike se desplomaron un 15% en las operaciones previas a la apertura del mercado en Estados Unidos.
«El evento actual parece, incluso en julio, ser uno de los problemas cibernéticos más importantes de 2024», dijo Omer Grossman, director de información (CIO) de CyberArk, en una declaración compartida con The Hacker News. «El daño a los procesos comerciales a nivel global es dramático. El error se debe a una actualización de software del producto EDR de CrowdStrike».
«Se trata de un producto que se ejecuta con privilegios elevados y que protege los puntos finales. Un mal funcionamiento de este puede provocar, como estamos viendo en el incidente actual, un bloqueo del sistema operativo».
Se espera que la recuperación tome días ya que el problema debe resolverse manualmente, punto final por punto final, iniciándolos en Modo seguro y eliminando el controlador con errores, señaló Grossman, y agregó que la causa raíz detrás del mal funcionamiento será de «máximo interés».
Jake Moore, asesor de seguridad global de la empresa de ciberseguridad eslovaca ESET, dijo a The Hacker News que el incidente sirve para resaltar la necesidad de implementar múltiples «medidas de seguridad» y diversificar la infraestructura de TI.
«Las actualizaciones y el mantenimiento de sistemas y redes pueden incluir involuntariamente pequeños errores que pueden tener consecuencias de amplio alcance, como las que han experimentado hoy los clientes de Crowdstrike», afirmó Moore.
«Otro aspecto de este incidente se relaciona con la ‘diversidad’ en el uso de infraestructura de TI a gran escala. Esto se aplica a sistemas críticos como sistemas operativos (OS), productos de ciberseguridad y otras aplicaciones implementadas (a escala) globalmente. Cuando la diversidad es baja, un solo incidente técnico, por no mencionar un problema de seguridad, puede provocar interrupciones a escala global con posteriores efectos secundarios».
El desarrollo se produce mientras Microsoft se está recuperando de una interrupción separada que causó problemas con las aplicaciones y servicios de Microsoft 365, incluidos Defender, Intune, OneNote, OneDrive para la Empresa, SharePoint Online, Windows 365, Viva Engage y Purview.
«Un cambio de configuración en una parte de nuestras cargas de trabajo de backend de Azure provocó una interrupción entre los recursos de almacenamiento y de cómputo, lo que resultó en fallas de conectividad que afectaron a los servicios posteriores de Microsoft 365 que dependen de estas conexiones», dijo el gigante tecnológico .
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.