Un alto ejecutivo de CrowdStrike se disculpó ante un comité del gobierno de los Estados Unidos por la interrupción del servicio del 19 de julio que provocó que los sistemas informáticos de todo el mundo se bloquearan y mostraran la temida pantalla azul de la muerte después de que la empresa lanzara una actualización defectuosa. El incidente, que tuvo lugar a primera hora de la mañana en el Reino Unido, comenzó cuando CrowdStrike lanzó una actualización de su plataforma de detección de amenazas Falcon, pero debido a un error en su herramienta de validación de contenido automatizada, la plantilla que contenía datos de contenido «problemático» fue autorizada para su implementación. Esto, a su vez, provocó una condición de memoria fuera de límites que provocó que los equipos con Windows que recibían la actualización entraran en un bucle de arranque. Esto significa que los dispositivos afectados se reiniciaron sin previo aviso durante el proceso de inicio, lo que les impidió completar un ciclo de arranque completo. El caos resultante paralizó 8,5 millones de equipos durante un breve período de tiempo y afectó a organizaciones de todo el mundo, con un impacto especialmente agudo en los sectores del transporte y la aviación. En sus comentarios de apertura ante el Comité de Seguridad Nacional de la Cámara de Representantes en Washington DC, Adam Meyers, vicepresidente sénior de operaciones antiadversarios de CrowdStrike, dijo que la organización defraudó a sus clientes cuando envió la actualización defectuosa. “En nombre de todos en CrowdStrike, quiero disculparme. Lamentamos profundamente que esto haya sucedido y estamos decididos a evitar que vuelva a suceder”, dijo Meyers. “Apreciamos los increíbles esfuerzos ininterrumpidos de nuestros clientes y socios que, trabajando junto con nuestros equipos, se movilizaron de inmediato para restaurar los sistemas y poner muchos de ellos en línea nuevamente en cuestión de horas. Puedo asegurarles que seguimos abordando esto con un gran sentido de urgencia”. Continuó: “En términos más generales, quiero subrayar que esto no fue un ciberataque de actores de amenazas extranjeros. El incidente fue causado por una actualización de contenido de respuesta rápida de CrowdStrike. Hemos tomado medidas para ayudar a garantizar que este problema no vuelva a ocurrir y nos complace informar que, al 29 de julio, aproximadamente el 99% de los sensores de Windows volvieron a estar en línea. “Desde que esto sucedió, nos hemos esforzado por ser transparentes y comprometidos a aprender de lo que sucedió”, dijo Meyers. “Hemos llevado a cabo una revisión completa de nuestros sistemas y hemos comenzado a implementar planes para reforzar nuestros procedimientos de actualización de contenido para que salgamos de esta experiencia como una empresa más fuerte. Puedo asegurarles que tomaremos las lecciones aprendidas de este incidente y las usaremos para informar nuestro trabajo a medida que mejoramos para el futuro”. Andrew Garbarino, miembro y presidente del Subcomité de Seguridad Cibernética y Protección de Infraestructura, dijo: “La magnitud de este error fue alarmante. Si una actualización de rutina pudo causar este nivel de interrupción, imagínense lo que podría hacer un actor hábil y decidido de un estado nacional. “No podemos perder de vista cómo este incidente influye en el entorno de amenazas más amplio”, dijo. “Sin lugar a dudas, nuestros adversarios han evaluado nuestra respuesta, recuperación y verdadero nivel de resiliencia. “Sin embargo, nuestros enemigos no son solo estados nacionales con capacidades cibernéticas avanzadas, sino que incluyen una variedad de actores cibernéticos maliciosos que a menudo prosperan en la incertidumbre y la confusión que surgen[s] durante cortes de TI a gran escala”, dijo Garbarino. “CISA [the US Cybersecurity and Infrastructure Security Agency] El Comité emitió una declaración pública en la que señalaba que había observado a actores de amenazas aprovechando este incidente para realizar phishing y otras actividades maliciosas. Está claro que esta interrupción creó un entorno ventajoso y propicio para la explotación por parte de actores cibernéticos maliciosos”. Interrupciones causadas El presidente del Comité, Mark Green, destacó la interrupción de los vuelos, los servicios de emergencia y los procedimientos médicos, no solo en los EE. UU. sino en todo el mundo. “Una interrupción global de TI que afecta a todos los sectores de la economía es una catástrofe que esperaríamos ver en una película”, dijo. “Es algo que esperaríamos que fuera ejecutado cuidadosamente por actores maliciosos y sofisticados de los estados-nación. “Para colmo de males, la mayor interrupción de TI de la historia se debió a un error”, dijo Green. “En este caso, el validador de contenido de CrowdStrike utilizado para su sensor Falcon no detectó un error en un archivo de canal. También parece que la actualización puede no haber sido probada adecuadamente antes de enviarse a la parte más sensible del sistema operativo de una computadora. Los errores ocurren, sin embargo, no podemos permitir que vuelva a ocurrir un error de esta magnitud”. Durante su testimonio, Meyers también expuso detalles de la naturaleza precisa del problema y describió los pasos que CrowdStrike ha tomado para asegurarse de que no vuelva a suceder, aunque reveló poca información que no se haya hecho pública ya. Se enfrentó a casi una hora y media de preguntas de políticos estadounidenses, incluido un interrogatorio sobre qué apoyo proporcionó CrowdStrike a los operadores de infraestructura nacional crítica (CNI) afectados por la interrupción, y su propia observación de la explotación del tiempo de inactividad por parte de cibercriminales. Acceso al kernel Es importante destacar que Meyers defendió la necesidad de que CrowdStrike tenga acceso al kernel de Microsoft, una parte central del sistema operativo Microsoft Windows, que administra varios recursos y procesos en el sistema y, a menudo, aloja aplicaciones críticas de seguridad cibernética, incluido el sensor de detección y respuesta de endpoints Falcon. A raíz del incidente, algunos han afirmado que que Microsoft permita dicho acceso es peligroso y que una mejor práctica sería implementar dichas actualizaciones directamente a los usuarios. “CrowdStrike es uno de los muchos proveedores que utilizan la arquitectura del núcleo de Windows, que es una arquitectura de núcleo abierto, una decisión que tomó Microsoft para permitir que el sistema operativo admita una amplia gama de diferentes tipos de hardware y sistemas”, dijo Meyers. “El núcleo es responsable de las áreas clave donde se puede garantizar el rendimiento, donde se puede tener visibilidad de todo lo que sucede en ese sistema operativo, donde se puede proporcionar cumplimiento (en otras palabras, prevención de amenazas) y garantizar la protección contra la manipulación, que es una preocupación clave desde una perspectiva de seguridad cibernética”, dijo. “La protección contra la manipulación es muy preocupante porque cuando un actor de amenazas obtiene acceso a un sistema, intentará desactivar las herramientas de seguridad y, para identificar que eso está sucediendo, se requiere visibilidad del núcleo. “El controlador del núcleo es un componente clave de todos los productos de seguridad que se me ocurren”, agregó Meyers. “El hecho de que hagan la mayor parte de su trabajo en el núcleo o no varía de un proveedor a otro, pero tratar de proteger el sistema operativo sin acceso al núcleo sería muy difícil”.