Agencias, Ciudad de México.- Microsoft ha estimado que la actualización defectuosa de la plataforma de CrowdStrike, que la semana pasada produjo una caída de los servicios de sus servicios a nivel global, afectó a menos del uno por ciento de los dispositivos Windows.
CrowdStrike es una compañía de ciberseguirdad que se especializa en la protección para los equipos situados en el extremo de un canal de comunicación conectados a la red (‘endpoint’) en el contexto de la tecnología en la nube.
El producto que pone al servicio de las organizaciones es Falcon, plataforma utilizada por clientes como Microsoft, que dispone un diseño de arquitectura ligera y sencilla que amplifica la Inteligencia Artificial (IA) en la nube y ofrece protección en tiempo real, entre otras ventajas.
Un fallo en la actualización de Falcon inhabilitó el viernes los equipos con el sistema de Microsoft en empresas de todos los sectores de todo el mundo, en los que se mostró la denominada ‘pantalla azul de la muerte’.
Ahora, Microsoft ha reconocido que desde que comenzó este problema ha mantenido “una comunicación continua” tanto con sus clientes como con su proveedor y otros desarrolladores externos para recopilar información y agilizar las soluciones.
También ha subrayado que “si bien las actualizaciones de ‘software’ pueden causar problemas ocasionalmente, los incidentes importantes como el evento de CrowdStrike son poco frecuentes”, según indica en una publicación de su blog.
En ella también ha avanzado que estima que la actualización de CrowdStrike afectó a 8.5 millones de dispositivos Windows, esto es, menos del uno por ciento de todos los equipos que utilizan el sistema operativo que desarrolla.
Read an update on what we’ve done to help Microsoft customers recover from the recent CrowdStrike outage. Learn about our actions from the start of the incident and our collaboration with customers, cloud providers and others in the tech community. https://t.co/7lS3zl32ww
— Microsoft News and Stories (@MSFTnews) July 20, 2024
Con ello, ha anunciado el lanzamiento de una herramienta de recuperación que permite a los adminsitradores de TI reparar los ordenadores Windows afectados por la actualización defectuosa de la plataforma de ciberseguridad CrowdStrike. Se puede acceder a esta solución desde el Centro de descargas de Microsoft.
Asimismo, ha explicado cuáles son las tres opciones de reparación. La primera permite recuperar desde WinPE, una alternativa que “produce un medio de arranque” para facilitar la reparación del dispositivo y en la que es posible que deba ingresar manualmente la clave de recuperación de BitLocker.
Por otra parte, Microsoft ofrece la opción de recuperación del modo seguro, que genera un medio de arranque para que los dispositivos afectados puedan arrancar en modo seguro y que les permite iniciar sesión con una cuenta de privilegios de administrador local y ejecutar los pasos que conducen a la solución.
La última opción de recuperación que la firma ha incorporado como parte de su solución al problema ocasionado por CrowdStrike es la del entorno de ejecución de prearranque (PXE), destinada a aquellos dispositivos que no puedan utilizar la opción de recuperación desde USB.
Desde CrowdStrike han insistido en que el fallo no fue “resultado ni está relacionado con un ciberataque” y que afectó a los clientes que ejecutan Falcon Sensor para Windows 7.11 y versiones posteriores.
En este sentido, ha explicado que las actualizaciones de Falcon “son una parte normal” de su funcionamiento y se ejecutan varias veces al día “en respuesta a nuevas tácticas, técnicas y procedimientos” maliciosos descubiertos por CrowdStrike.
Tras identificar y corregir el error de lógica que desencadenó en fallo en Windows, ha asegurado que los sistemas que actualmente no se ven afectados por dicho problema “seguirán funcionando como se espera, brindando protección, y no tendrán riesgo de experimentar este problema en el futuro”.
CrowdStrike continues to focus on restoring all systems as soon as possible. Of the approximately 8.5 million Windows devices that were impacted, a significant number are back online and operational.
Together with customers, we tested a new technique to accelerate impacted…
— CrowdStrike (@CrowdStrike) July 21, 2024
Reed también ha añadido que la interrupción “parece tener su origen en un error de su agente EDR, que lamentablemente no fue probado a fondo”. Tanto desde esta firma y como desde Kaspersky -que han facilitado explicado en sendas notas de prensa- coinciden en la necesidad de las pruebas exhaustivas antes de lanzar las actualizaciones.
Habitualmente, los proveedores de seguridad suelen acompañar el lanzamiento de las actualizaciones de “un importante número de pruebas y comprobaciones internas”, como detallan en Kaspersky, que destaca también la importancia de “respetar el principio de liberación granular de las actualizaciones”, esto es, evitar distribuir a todos los clientes al mismo tiempo al actualización para que, en caso de fallo, detectarlo y solucionarlo en el menor tiempo posible.
Para el CISO de Acronis, “este incidente pone de relieve la importancia de realizar pruebas rigurosas y actualizaciones escalonadas. Normalmente, las pruebas se realizan con cada lanzamiento y pueden llevar de días a semanas, dependiendo del tamaño de la actualización o de los cambios”, apostilla.
Crowdstrike ya ha identificado y aislado el problema, e incluso ha implementado una corrección para solucionarlo. No obstante, como explican desde Kaspersky, “la dificultad radica en que cuando se produce un problema de esta índole, cada dispositivo (ordenador, portátil o servidor) debe reiniciarse en modo seguro manualmente, ya que no puede hacerse utilizando herramientas de gestión”.
En la misma línea se ha expresado el CISO de Acronis, Kevin Reed, al señalar que la actualización defectuosa “requiere una intervención manual para resolverse, concretamente reiniciar los sistemas en ‘modo seguro’ y borrar el archivo del controlador defectuoso”, un proceso que “deja los sistemas vulnerables en el ínterin, invitando potencialmente a ataques oportunistas”. Y ha añadido que la interrupción “parece tener su origen en un error de su agente EDR, que lamentablemente no fue probado a fondo”.
Este problema “podría ser un vector de ataque perfectamente plausible, pero no lo ha sido”, aclara en declaraciones a Europa Press José Rosell, socio director de S2 Grupo. “Aparentemente esto ha sido un fallo humano en una actualización. Ha sido en la distribución de un fichero, erróneo, y esto simplemente es un fallo del proceso, una equivocación de una persona que ha distribuido un fichero con un fallo”.
Sin embargo, y “como hipótesis”, un fallo así podría ser aprovechado para diseñar un ataque con las mismas premisas del error. “Podría ser un vector de ataque, pero entiendo que también la firma de seguridad CrowdStrike estará suficientemente protegida para evitar este tipo de ataques pasivos contra sus clientes”, matiza Rosell.
New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints https://t.co/DP2MoXu0Xg
— Microsoft Threat Intelligence (@MsftSecIntel) July 22, 2024