La empresa de ciberseguridad CrowdStrike, que se encuentra en la mira de los cibercriminales, ha publicado una revisión inicial posterior al incidente que ofrece más información sobre la actualización que salió mal y que hizo caer millones de dispositivos Microsoft el 19 de julio, provocando un caos global. En una actualización publicada el 24 de julio, la empresa dijo que había intentado publicar una actualización de configuración de contenido para su sensor Falcon en hosts de Windows a primera hora de la mañana del viernes. Esta actualización de «respuesta rápida» formaba parte de los mecanismos de protección dinámica normales que utiliza la plataforma Falcon para realizar actividades de detección y reparación de amenazas cibernéticas. Básicamente, CrowdStrike utiliza las actualizaciones para identificar nuevos indicadores del comportamiento de los actores de amenazas y mejorar sus capacidades de detección y prevención. Normalmente, estas actualizaciones entregadas en la nube pasarían sin llamar la atención. Sin embargo, esta actualización provocó que los hosts de Windows que ejecutaban el sensor Falcon 7.11 y versiones posteriores que estaban en línea en ese momento se bloquearan. De hecho, el problema en juego se remonta a febrero de 2024, cuando la versión 7.11 del sensor Falcon dejó de contener plantillas para detectar una nueva técnica de ataque que abusaba de las canalizaciones con nombre, un conducto de comunicación cliente-servidor. Estas plantillas fueron sometidas a pruebas de estrés y validadas para su uso antes de ser lanzadas a producción. Se implementaron tres instancias de plantilla más durante las semanas siguientes, nuevamente sin incidentes. Avanzamos hasta el 19 de julio, cuando se alinearon dos instancias de plantilla adicionales para la misma técnica de ataque para ser implementadas. Sin embargo, en esta ocasión, dijo CrowdStrike, un error en un validador de contenido automatizado utilizado para verificar actualizaciones permitió que una de ellas pasara las verificaciones de validación «a pesar de contener datos de contenido problemáticos». Se implementó en función de las pruebas realizadas en marzo, pero cuando se recibió y cargó, este contenido problemático en el archivo de canal 291 resultó en una condición de memoria fuera de límites, lo que desencadenó una excepción que abrumó a los sistemas operativos Windows. La actualización fallida estuvo activa durante poco más de una hora y cuarto antes de que CrowdStrike la revirtiera, de 04:09 UTC a 05:27 UTC (5:09 BST a 06:27 BST) el viernes, pero este tiempo fue suficiente para causar que más de ocho millones de dispositivos en todo el mundo se bloquearan y mostraran la infame pantalla azul de la muerte, cuyas fotos se difundieron por todo el mundo. El director ejecutivo de CrowdStrike, George Kurtz, volvió a disculparse con los clientes y otras personas afectadas, incluidas las miles de personas que experimentaron retrasos y cancelaciones de vuelos. «Todo CrowdStrike entiende la gravedad y el impacto de la situación. Identificamos rápidamente el problema e implementamos una solución, lo que nos permitió concentrarnos diligentemente en restaurar los sistemas de los clientes como nuestra máxima prioridad», dijo Kurtz. Kurtz también reiteró que ni él ni Microsoft habían sido víctimas de ningún tipo de ataque cibernético, y reafirmó que los hosts Linux y Mac no se vieron afectados. «CrowdStrike está funcionando con normalidad y este problema no afecta a nuestros sistemas de la plataforma Falcon. No hay impacto en ninguna protección si el sensor Falcon está instalado. “Los servicios Falcon Complete y Falcon OverWatch no se ven interrumpidos”, afirmó. “Hemos movilizado a todo CrowdStrike para ayudarlo a usted y a sus equipos. Si tiene preguntas o necesita asistencia adicional, comuníquese con su representante de CrowdStrike o con el Soporte técnico. “Sabemos que los adversarios y los actores maliciosos intentarán aprovechar eventos como este. Animo a todos a permanecer atentos y asegurarse de interactuar con los representantes oficiales de CrowdStrike. Nuestro blog y el soporte técnico seguirán siendo los canales oficiales para las últimas actualizaciones. Kurtz agregó: “Nada es más importante para mí que la confianza que nuestros clientes y socios han depositado en CrowdStrike. Mientras resolvemos este incidente, tiene mi compromiso de brindar total transparencia sobre cómo ocurrió esto y los pasos que estamos tomando para evitar que vuelva a suceder algo como esto”. ¿Qué sucederá a continuación? CrowdStrike ahora ha establecido un extenso plan preliminar diseñado para evitar que vuelva a ocurrir un incidente de este tipo. Esto incluye mejorar la resiliencia de las actualizaciones de respuesta rápida mediante la realización de más pruebas para desarrolladores, pruebas de actualización y reversión, pruebas de estrés, fuzzing e inyección de fallas, pruebas de estabilidad y pruebas de interfaz de contenido. Se añadirán más comprobaciones de validación a su sistema de validación de contenido y se mejorará la gestión de errores existente en otros componentes de su configuración. Las futuras implementaciones de respuesta rápida también se realizarán de forma escalonada y se implementarán gradualmente en porciones más grandes de la base de sensores Falcon, comenzando con una implementación denominada «canary». Como parte de esto, se supervisará mejor el rendimiento del sensor y del sistema, mientras que los clientes tendrán un mayor control sobre la entrega de dichas actualizaciones, que ahora también vendrán con notas de la versión.