Las empresas de todo el mundo se han visto afectadas por interrupciones generalizadas en sus estaciones de trabajo de Windows debido a una actualización defectuosa lanzada por la empresa de ciberseguridad CrowdStrike. «CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows», dijo el director ejecutivo de la empresa, George Kurtz, en un comunicado. «Los hosts de Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque». La empresa, que reconoció «informes de [Blue Screens of Death] en los hosts de Windows», dijo además que ha identificado el problema y se ha implementado una solución para su producto Falcon Sensor, instando a los clientes a consultar el portal de soporte para obtener las últimas actualizaciones. Para los sistemas que ya se han visto afectados por el problema, las instrucciones de mitigación se enumeran a continuación: Inicie Windows en modo seguro o en el entorno de recuperación de Windows Navegue al directorio C:\Windows\System32\drivers\CrowdStrike Busque el archivo llamado «C-00000291*.sys» y elimínelo Reinicie la computadora o el servidor normalmente Vale la pena señalar que la interrupción también ha afectado a Google Cloud Compute Engine, lo que hace que las máquinas virtuales de Windows que usan csagent.sys de CrowdStrike se bloqueen y entren en un estado de reinicio inesperado. «Después de haber recibido automáticamente un parche defectuoso de CrowdStrike, las máquinas virtuales de Windows se bloquean y no podrán reiniciarse», dijo. «Las máquinas virtuales de Windows que están actualmente en funcionamiento ya no deberían verse afectadas». Microsoft Azure también ha publicado una actualización similar, indicando que «recibió informes de recuperación exitosa de algunos clientes que intentaron»múltiples operaciones de reinicio de máquinas virtuales en las máquinas virtuales afectadas» y que «pueden ser necesarios varios reinicios (se han informado hasta 15)». Amazon Web Services (AWS), por su parte, dijo que ha tomado medidas para mitigar el problema en tantas instancias de Windows, espacios de trabajo de Windows y aplicaciones de Appstream como sea posible, y recomendó a los clientes que aún se ven afectados por el problema que «tomen medidas para restaurar la conectividad». El investigador de seguridad Kevin Beaumont dijo: «Obtuve el controlador CrowdStrike que enviaron mediante actualización automática. «No sé cómo sucedió, pero el archivo no es un controlador con formato válido y hace que Windows se bloquee cada vez». «CrowdStrike es el producto EDR de primer nivel y está en todo, desde puntos de venta hasta cajeros automáticos, etc. Este será el mayor incidente ‘cibernético’ en todo el mundo en términos de impacto, muy probablemente». Aerolíneas, instituciones financieras, cadenas de alimentos y minoristas, hospitales, hoteles, organizaciones de noticias, redes ferroviarias y empresas de telecomunicaciones se encuentran entre las muchas empresas afectadas. Las acciones de CrowdStrike se han desplomado un 15% en las operaciones previas a la apertura del mercado en EE. UU. «El evento actual parece, incluso en julio, que será uno de los problemas cibernéticos más importantes de 2024», dijo Omer Grossman, director de información (CIO) de CyberArk, en un comunicado compartido con The Hacker News. «El daño a los procesos comerciales a nivel global es dramático. La falla se debe a una actualización de software del producto EDR de CrowdStrike». «Este es un producto que se ejecuta con altos privilegios que protege los puntos finales. Un mal funcionamiento de este sistema puede, como estamos viendo en el incidente actual, provocar que el sistema operativo se bloquee». Se espera que la recuperación tome días, ya que el problema debe resolverse manualmente, punto final por punto final, iniciándolos en modo seguro y eliminando el controlador defectuoso, señaló Grossman, y agregó que la causa raíz detrás del mal funcionamiento será del «máximo interés». Jake Moore, asesor de seguridad global de la empresa de ciberseguridad eslovaca ESET, dijo a The Hacker News que el incidente sirve para resaltar la necesidad de implementar múltiples «medidas de seguridad» y diversificar la infraestructura de TI. «Las actualizaciones y el mantenimiento de los sistemas y redes pueden incluir involuntariamente pequeños errores, que pueden tener consecuencias de amplio alcance, como las que experimentaron hoy los clientes de CrowdStrike», dijo Moore. «Otro aspecto de este incidente se relaciona con la ‘diversidad’ en el uso de la infraestructura de TI a gran escala. Esto se aplica a sistemas críticos como sistemas operativos (SO), productos de ciberseguridad y otras aplicaciones implementadas (escaladas) globalmente. «Cuando la diversidad es baja, un solo incidente técnico, por no hablar de un problema de seguridad, puede provocar interrupciones a escala global con posteriores efectos secundarios». El desarrollo se produce mientras Microsoft se recupera de una interrupción independiente propia que causó problemas con las aplicaciones y servicios de Microsoft 365, incluidos Defender, Intune, OneNote, OneDrive para la Empresa, SharePoint Online, Windows 365, Viva Engage y Purview. «Un cambio de configuración en una parte de nuestras cargas de trabajo de back-end de Azure provocó una interrupción entre los recursos de almacenamiento y de cómputo que dio lugar a fallos de conectividad que afectaron a los servicios posteriores de Microsoft 365 que dependen de estas conexiones», dijo el gigante tecnológico. Omkhar Arasaratnam, director general de OpenSSF, dijo que las interrupciones de Microsoft-CrowdStrike subrayan la fragilidad de las cadenas de suministro monoculturales y enfatizaron la importancia de la diversidad en las pilas de tecnología para una mayor resiliencia y seguridad. «Las cadenas de suministro monoculturales (un solo sistema operativo, un solo EDR) son inherentemente frágiles y susceptibles a fallos sistémicos, como hemos visto», señaló Arasaratnam. «Una buena ingeniería de sistemas nos indica que los cambios en estos sistemas deben implementarse gradualmente, observando el impacto en pequeñas porciones en lugar de hacerlo de una sola vez. Los ecosistemas más diversos pueden tolerar cambios rápidos, ya que son resilientes a problemas sistémicos». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.