El gigante de la ciberseguridad CrowdStrike se disculpa por «decepcionar a los clientes» después de que una actualización defectuosa de su sensor Falcon desactivara millones de PC el 19 de julio. Adam Meyers, vicepresidente de operaciones de contraataque en CrowdStrike, compareció ante un comité del Congreso de EE. UU. el 24 de septiembre para responder preguntas sobre el error que bloqueó aproximadamente 8,5 millones de computadoras con Windows y las obligó a mostrar la infame pantalla azul de la muerte (BSOD) de Microsoft. El Comité de Seguridad Nacional de la Cámara de Representantes de EE. UU. había solicitado el testimonio público del CEO de CrowdStrike, George Kurtz, el 22 de julio. Kurtz prometió hacerlo una vez que el incidente se resolviera por completo, pero la empresa finalmente decidió enviar a Meyers en su lugar. Explicación del fallo del sensor Falcon de CrowdStrike Frente al Congreso, Meyers dijo que la «tormenta perfecta» se debió a que la actualización tenía un «desajuste entre los parámetros de entrada y las reglas predefinidas». «El 19 de julio de 2024, se validaron nuevas configuraciones de detección de amenazas a través de procedimientos de validación regulares y se enviaron a sensores que se ejecutan en dispositivos Microsoft Windows. Sin embargo, el motor de reglas del sensor Falcon no comprendió las configuraciones, lo que provocó que los sensores afectados funcionaran mal hasta que se reemplazaron las configuraciones problemáticas”, explicó Meyers. Leer más: Los cibercriminales aprovechan el caos de la interrupción del servicio de CrowdStrike Los esfuerzos de CrowdStrike para reiniciar los sistemas afectados Meyers también proporcionó detalles sobre cómo CrowdStrike ayudó a restaurar los sistemas afectados por la interrupción. El 22 de julio, la empresa introdujo técnicas automatizadas para acelerar la remediación. Después de esto, se desplegó personal de CrowdStrike para ayudar a los clientes a recuperar sus sistemas. El desafío con esta interrupción es que se requirió acceso físico a una máquina afectada para reiniciarla. «A partir del 29 de julio, prácticamente todos los sistemas de nuestros clientes volvieron a funcionar», confirmó Meyers. CrowdStrike todavía enfrenta múltiples demandas después de la interrupción del servicio de julio. Estas incluyen de los propios accionistas de la empresa y de Delta Airlines. Delta ha acusado a CrowdStrike de «negligencia» y afirma haber perdido $ 500 millones debido a la interrupción, que causó miles de cancelaciones de vuelos. Leer más: Interrupción de CrowdStrike en Windows: qué podemos aprender Medidas de CrowdStrike para prevenir incidentes similares Meyers compartió algunos de los esfuerzos de CrowdStrike para garantizar que un incidente de este tipo nunca vuelva a ocurrir. Estas mejoras incluyen: Validación: CrowdStrike ha introducido nuevas comprobaciones de validación para ayudar a garantizar que la cantidad de entradas esperadas por el sensor y sus reglas predefinidas coincidan con la misma cantidad de configuraciones de detección de amenazas proporcionadas. Pruebas: la compañía ha mejorado los procedimientos de prueba existentes para cubrir una gama más amplia de escenarios. Control del cliente: los clientes de CrowdStrike ahora tienen más control sobre la implementación de actualizaciones de configuración en sus sistemas. Implementaciones: CrowdStrike ahora utiliza un enfoque por fases para las implementaciones de actualizaciones de detección de amenazas, lo que significa que los clientes no tienen que implementar actualizaciones de inmediato. Salvaguardias: la compañía ha agregado verificaciones de tiempo de ejecución adicionales al sistema, diseñadas para garantizar que los datos proporcionados coincidan con las expectativas del sistema antes de que se produzca cualquier procesamiento. Revisiones de terceros: se han contratado dos proveedores de seguridad de software de terceros independientes para realizar más revisiones del proceso de lanzamiento y control de calidad de extremo a extremo y del código del sensor Falcon. Se discute el acceso al kernel de Microsoft de CrowdStrike. Los congresistas le preguntaron a Meyers si un software como el sensor Falcon de CrowdStrike debería disfrutar del acceso al kernel de Microsoft. El acceso al núcleo se refiere a la capacidad de un programa o proceso de software para interactuar directamente con el núcleo de un sistema operativo. El núcleo es el componente principal de un sistema operativo, responsable de administrar los recursos de hardware, los procesos y la memoria. Si bien la mayoría de las aplicaciones de software operan en el espacio del usuario, algunas aplicaciones críticas, incluidos los antivirus, las soluciones de detección y respuesta de puntos finales (EDR) y otros productos de seguridad, se instalan en el núcleo de Microsoft. Este nivel de acceso es necesario para que muchas soluciones de ciberseguridad supervisen y protejan eficazmente los sistemas. Sin embargo, también genera inquietudes sobre la posibilidad de acceso no autorizado o uso indebido, especialmente en caso de una violación de la seguridad. Según se informa, el incidente de CrowdStrike impulsó a Microsoft a contemplar la posibilidad de trasladar las actualizaciones de antivirus y otras de detección de amenazas al modo de usuario para reducir la probabilidad de incidentes importantes. Sin embargo, Meyers se opuso a esta decisión y dijo que sin acceso al núcleo, los productos de seguridad de CrowdStrike podrían ser menos efectivos. Argumentó que productos como Falcon tienen «visibilidad de todo lo que sucede en ese sistema operativo». Esto permite la prevención de amenazas y ayuda a «garantizar la prevención de manipulaciones». Meyers mencionó que Scattered Spider, el grupo responsable de las intrusiones en la red de casinos de Las Vegas, suele utilizar «nuevas técnicas para aumentar sus privilegios y así deshabilitar las herramientas de seguridad de forma regular». Meyers afirmó que CrowdStrike «seguirá aprovechando la arquitectura del sistema operativo».