Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Actualización defectuosa de CrowdStrike bloquea sistemas Windows globalmente

Actualización defectuosa de CrowdStrike bloquea sistemas Windows globalmente

por Dragora

Las empresas de todo el mundo están enfrentando interrupciones generalizadas en sus estaciones de trabajo Windows debido a una actualización defectuosa lanzada por la empresa de ciberseguridad CrowdStrike. Este incidente ha resaltado la fragilidad de la infraestructura tecnológica y la necesidad de implementar estrategias de seguridad diversificadas.

CrowdStrike ha reconocido el problema y está trabajando activamente con los clientes afectados. George Kurtz, CEO de la compañía, afirmó: «CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una sola actualización de contenido para hosts de Windows. Los hosts Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ataque cibernético». La empresa también mencionó que ha recibido «informes de pantallas azules de la muerte en los hosts de Windows» y ha implementado una solución para su producto Falcon Sensor. Los clientes deben consultar el portal de soporte para obtener las últimas actualizaciones.

Para los sistemas ya afectados, CrowdStrike ha proporcionado las siguientes instrucciones de mitigación:

  1. Arranque de Windows en modo seguro o en el entorno de recuperación de Windows.
  2. Vaya al directorio C:\Windows\System32\drivers\CrowdStrike.
  3. Busque el archivo llamado «C-00000291*.sys» y elimínelo.
  4. Reinicie la computadora o el servidor normalmente.

Las interrupciones también ha afectado a Google Cloud Compute Engine, provocando que las máquinas virtuales de Windows que utilizan el controlador csagent.sys de CrowdStrike se bloqueen y entren en un estado de reinicio inesperado. Google afirmó: «Después de haber recibido automáticamente un parche defectuoso de CrowdStrike, las máquinas virtuales de Windows se bloquean y no podrán reiniciarse». Microsoft Azure y Amazon Web Services (AWS) también han publicado actualizaciones similares y han tomado medidas para mitigar el problema en sus plataformas.

Kevin Beaumont, investigador de seguridad, comentó: «He obtenido el controlador de CrowdStrike que impulsaron a través de la actualización automática. No sé cómo sucedió, pero el archivo no es un controlador con formato válido y hace que Windows se bloquee cada vez. CrowdStrike es el producto EDR de primer nivel, y está en todo, desde el punto de venta hasta los cajeros automáticos, etcétera: este será el mayor incidente ‘cibernético’ en todo el mundo en términos de impacto, muy probablemente».

Diversas industrias, incluyendo aerolíneas, instituciones financieras, cadenas de alimentos y minoristas, hospitales, hoteles, organizaciones de noticias, redes ferroviarias y empresas de telecomunicaciones, se han visto afectadas por esta interrupción. Las acciones de CrowdStrike se desplomaron un 15% en las operaciones previas a la comercialización en Estados Unidos.

Omer Grossman, director de información (CIO) de CyberArk, indicó: «El evento actual parece, incluso en julio, que será uno de los problemas cibernéticos más importantes de 2024. El daño a los procesos comerciales a nivel global es dramático. La falla se debe a una actualización de software del producto EDR de CrowdStrike. Este es un producto que se ejecuta con altos privilegios y que protege los endpoints. Un mal funcionamiento en esto puede, como estamos viendo en el incidente actual, hacer que el sistema operativo se bloquee».

La recuperación de este problema tomará días, ya que debe resolverse manualmente, iniciando los sistemas afectados en modo seguro y eliminando el controlador defectuoso. Jake Moore, asesor de seguridad global de ESET, subrayó la importancia de implementar múltiples mecanismos de seguridad y diversificar la infraestructura de TI para evitar interrupciones masivas como esta.

El desarrollo de esta situación se produce en un momento en que Microsoft también está lidiando con una interrupción propia que ha afectado a diversas aplicaciones y servicios de Microsoft 365, incluidos Defender, Intune, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage y Purview. Microsoft explicó: «Un cambio de configuración en una parte de nuestras cargas de trabajo de backend de Azure provocó una interrupción entre los recursos de almacenamiento y cómputo, lo que resultó en fallas de conectividad que afectaron a los servicios de Microsoft 365 que dependen de estas conexiones».

Omkhar Arasaratnam, gerente general de OpenSSF, destacó la importancia de la diversidad en las pilas de tecnología para una mayor resiliencia y seguridad. «Las cadenas de suministro de monocultivos (sistema operativo único, EDR único) son inherentemente frágiles y susceptibles a fallas sistémicas, como hemos visto. Una buena ingeniería de sistemas nos dice que los cambios en estos sistemas deben implementarse gradualmente, observando el impacto en pequeños tramos en lugar de todos a la vez. Los ecosistemas más diversos pueden tolerar cambios rápidos, ya que son resistentes a los problemas sistémicos».

Fuente: The Hacker News 

You may also like

Dejar Comentario

Click to listen highlighted text!