Los servidores y estaciones de trabajo de Windows en docenas de organizaciones comenzaron a fallar hoy debido a un problema causado por ciertas versiones de la solución de seguridad de punto final Carbon Black de VMware.
Según algunos informes, los sistemas de más de 50 organizaciones comenzaron a mostrar la temida pantalla azul de la muerte (BSOD) poco después de las 15:00 (GMT+1) del 23 de agosto.
Conjunto de reglas AV defectuoso
La raíz del problema es un conjunto de reglas implementado hoy en Carbon Black Cloud Sensor 3.6.0.1979 – 3.8.0.398 que hace que los dispositivos se bloqueen y muestren una pantalla azul al inicio, negando el acceso a ellos.
Los sistemas operativos de Microsoft Windows afectados por el problema son Windows 10 x64, Server 2012 R2 x64, Server 2016 x64 y Server 2019 x64.
En los sistemas afectados por el problema, el código de detención puede identificar el error como «PFN_LIST_CORRUPT».
Tim Geschwindt, un respondedor de incidentes de S-RM Cyber, le dijo a BleepingComputer que a partir de las 15:30 (GMT+1), los clientes comenzaron a quejarse de que sus servidores y estaciones de trabajo fallaban y sospechaban que Carbon Black tenía la culpa.
Después de investigar, el investigador determinó que todos los clientes que ejecutaban el sensor Carbon Black 3.7.0.1253 estaban afectados. “No pudieron arrancar en ninguno de sus dispositivos en absoluto. Complete no go”, dijo Geschwindt.
Un administrador dijo que tenían alrededor de «500 BSOD de puntos finales en nuestro patrimonio desde aproximadamente las 15:15, hora del Reino Unido».
Parece que hay un conflicto entre Carbon Black y el paquete de firma AV 8.19.22.224.
VMware explica hoy en una base de conocimiento que «se implementó un conjunto de reglas de investigación de amenazas actualizado en Prod01, Prod02, ProdEU, ProdSYD y ProdNRT después de que las pruebas internas no mostraron signos de problemas».
En este momento se está llevando a cabo una investigación y se está revirtiendo el problemático conjunto de reglas, lo que se espera que elimine el problema.
Como solución temporal, VMware recomienda poner los sensores en modo Bypass a través de Carbon Black Cloud Console. Esto permite que los dispositivos afectados se inicien correctamente para que se pueda eliminar el conjunto de reglas defectuoso.
VMware recomienda a los clientes que experimenten este problema que abran un caso de soporte e incluyan la siguiente información: Org_Key, Nombre(s) del dispositivo, ID(s) del dispositivo y Sistema(s) operativo(s).
Actualización [23 de agosto, 17:50] : VMware proporcionó la siguiente declaración para BleepingComputer poco después de publicar el artículo:
«VMware Carbon Black está al tanto de un problema que afecta a una cantidad limitada de terminales de clientes, donde ciertas versiones anteriores de sensores se vieron afectadas por una actualización de nuestras capacidades preventivas de comportamiento. El problema se identificó y corrigió, y VMware Carbon Black está trabajando con los clientes afectados. .»
Actualización [24 de agosto, 12:02] : VMware actualizó su artículo de la base de conocimiento con pasos para verificar si el conjunto de reglas correcto está presente en los puntos finales que no están atrapados en un bucle de arranque
Fuente: https://www.bleepingcomputer.com