24 de julio de 2024Sala de prensaActualización de software / Interrupción de TI La empresa de ciberseguridad CrowdStrike culpó el miércoles a un problema en su sistema de validación por provocar que millones de dispositivos Windows se bloquearan como parte de una interrupción generalizada a fines de la semana pasada. «El viernes 19 de julio de 2024 a las 04:09 UTC, como parte de las operaciones habituales, CrowdStrike lanzó una actualización de configuración de contenido para el sensor de Windows para recopilar telemetría sobre posibles técnicas de amenaza novedosas», dijo la compañía en su Revisión preliminar posterior al incidente (PIR). «Estas actualizaciones son una parte habitual de los mecanismos de protección dinámica de la plataforma Falcon. La problemática actualización de configuración de contenido de respuesta rápida resultó en un bloqueo del sistema Windows». El incidente afectó a los hosts de Windows que ejecutaban la versión 7.11 y posteriores del sensor que estaban en línea entre las 04:09 UTC y las 05:27 UTC del 19 de julio de 2024 y recibieron la actualización. Los sistemas macOS y Linux de Apple no se vieron afectados. CrowdStrike dijo que ofrece actualizaciones de configuración de contenido de seguridad de dos maneras, una a través del contenido del sensor que se envía con Falcon Sensor y otra a través del contenido de respuesta rápida que le permite marcar nuevas amenazas utilizando varias técnicas de coincidencia de patrones de comportamiento. Se dice que el bloqueo fue el resultado de una actualización del contenido de respuesta rápida que contenía un error no detectado anteriormente. Vale la pena señalar que dichas actualizaciones se entregan en forma de instancias de plantilla que corresponden a comportamientos específicos, que se asignan a tipos de plantilla específicos, para habilitar nueva telemetría y detección. Las instancias de plantilla, a su vez, se crean utilizando un sistema de configuración de contenido, después de lo cual se implementan en el sensor a través de la nube a través de un mecanismo denominado archivos de canal, que finalmente se escriben en el disco en la máquina Windows. El sistema también incluye un componente Validador de contenido que realiza comprobaciones de validación en el contenido antes de publicarlo. «El contenido de respuesta rápida proporciona visibilidad y detecciones en el sensor sin requerir cambios en el código del sensor», explicó. «Los ingenieros de detección de amenazas utilizan esta capacidad para recopilar telemetría, identificar indicadores de comportamiento del adversario y realizar detecciones y prevenciones. El contenido de respuesta rápida es una heurística de comportamiento, separada y distinta de las capacidades de prevención y detección de IA en el sensor de CrowdStrike». Estas actualizaciones son luego analizadas por el intérprete de contenido del sensor Falcon, que luego facilita que el motor de detección de sensores detecte o prevenga la actividad maliciosa. Si bien cada nuevo tipo de plantilla se somete a pruebas de estrés para diferentes parámetros como la utilización de recursos y el impacto en el rendimiento, la causa raíz del problema, según CrowdStrike, podría remontarse a la implementación del tipo de plantilla de comunicación entre procesos (IPC) el 28 de febrero de 2024, que se introdujo para marcar los ataques que nombraban canales. La cronología de los eventos es la siguiente: 28 de febrero de 2024: CrowdStrike lanza el sensor 7.11 a los clientes con el nuevo tipo de plantilla de IPC 5 de marzo de 2024: el tipo de plantilla de IPC pasa la prueba de estrés y se valida para su uso 5 de marzo de 2024: la instancia de plantilla de IPC se lanza a producción a través del archivo de canal 291 8 al 24 de abril de 2024: se implementan tres instancias de plantilla de IPC más en producción 19 de julio de 2024: se implementan dos instancias de plantilla de IPC adicionales, una de las cuales pasa la validación a pesar de tener datos de contenido problemáticos «Con base en las pruebas realizadas antes de la implementación inicial del tipo de plantilla (el 5 de marzo de 2024), la confianza en las verificaciones realizadas en el Validador de contenido y las implementaciones exitosas anteriores de instancias de plantilla de IPC, estas instancias se implementaron en producción», dijo CrowdStrike. «Cuando el sensor lo recibió y lo cargó en el intérprete de contenido, el contenido problemático en el archivo de canal 291 provocó una lectura de memoria fuera de los límites que desencadenó una excepción. Esta excepción inesperada no se pudo manejar correctamente, lo que provocó un bloqueo del sistema operativo Windows (BSoD)». En respuesta a las interrupciones generalizadas causadas por el bloqueo y para evitar que vuelvan a ocurrir, la empresa con sede en Texas dijo que ha mejorado sus procesos de prueba y su mecanismo de manejo de errores en el intérprete de contenido. También está planeando implementar una estrategia de implementación escalonada para el contenido de respuesta rápida. ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.