La herramienta de Microsoft requiere acceso físico, una «tarea laboriosa y que requiere mucho tiempo» Mathew J. Schwartz (euroinfosec) • 22 de julio de 2024 Una «pantalla azul de la muerte» en el aeropuerto LaGuardia de Nueva York el 19 de julio de 2024 (Imagen: Smishra1/CC BY-SA 4.0) La declaración de Microsoft que descarta la interrupción masiva del servicio del viernes vinculada a CrowdStrike al decir que afectó a «menos del uno por ciento» de todas las máquinas Windows es un intento transparente de manipulación corporativa para un incidente que aún resuena en la economía global. La recuperación es más difícil que una publicación de blog. Ver también: 5 requisitos para DLP moderno Los 8,5 millones de sistemas interrumpidos en una actualización de software de la plataforma Falcon de CrowdStrike que salió mal no afectaron a una muestra aleatoria de máquinas Windows. El incidente afectó a máquinas utilizadas por organizaciones más grandes y mejor financiadas para funciones sensibles que requieren el tipo de protección que promete CrowdStrike, como lo demuestran las interrupciones en sectores críticos como la atención médica, la banca y las finanzas, el transporte y la seguridad pública. «Esos 8,5 millones de dispositivos estaban en grandes organizaciones cuyo perfil de amenaza y riesgo significaba que podían permitirse invertir en la solución de CrowdStrike», dijo Brian Honan, director de la consultora de ciberseguridad con sede en Dublín BH Consulting. Tres días después de que saliera la actualización defectuosa, la limpieza sigue «en curso», dijo el experto británico en ciberseguridad Kevin Beaumont en una publicación del lunes en la plataforma social Mastodon. Los sistemas afectados están atrapados en un ciclo interminable de fallas en una pantalla azul de Windows, reinicio y carga del archivo defectuoso de CrowdStrike y luego fallan de nuevo. Debido al acceso directo de CrowdStrike al núcleo del sistema operativo, Microsoft no tenía una defensa incorporada. Remediar los sistemas afectados requiere eliminar el archivo. Microsoft ha lanzado una herramienta que puede ayudar, o los afectados pueden borrar y restaurar (ver: CrowdStrike, Microsoft Outage Uncovers Big Resiliency Issues). «Conozco muchas organizaciones que han logrado remediar menos de un tercio de sus problemas», dijo Beaumont. Entre las aerolíneas, Delta sigue siendo particularmente afectada, lo que ha provocado interrupciones a nivel corporativo y para los clientes. A media mañana del lunes, hora de EE. UU., la aerolínea ya había cancelado 700 o el 19% de los vuelos del día, lo que representa más de 5.000 cancelaciones de vuelos desde el viernes, según el sitio de seguimiento de vuelos FlightAware. Las cancelaciones y los retrasos generalizados han dejado a muchos viajeros varados, y Delta no ha dado un cronograma sobre cuándo espera restablecer las operaciones normales, informó Reuters. El domingo, Microsoft lanzó una herramienta que desarrolló con CrowdStrike que brinda a los administradores la capacidad de eliminar la actualización defectuosa de los sistemas afectados, aunque con salvedades. Cualquier sistema bloqueado mediante el cifrado de disco completo a través de Microsoft BitLocker o un producto similar (un requisito reglamentario en algunas industrias) primero debe ser desbloqueado por los administradores ingresando la clave de recuperación. Algunas organizaciones almacenan las claves de BitLocker de forma centralizada, pero muchas organizaciones solo lo hacen para servidores críticos, en lugar de hasta el último equipo de escritorio o portátil. Como resultado, es posible que deban involucrar a los usuarios finales en el proceso de recuperación. Otra advertencia: la utilidad de Microsoft se ejecuta desde una unidad USB de arranque, por lo que su uso requiere acceso físico al sistema. «Su vida consistirá en conducir de un sitio a otro, aplicar la solución y seguir adelante. Olvídese de dormir en su propia cama o comer una comida que no haya sido comprada en un restaurante de comida rápida», dijo el experto en TI Ed Zitron en un elogio a los administradores de sistemas. La necesidad de tener manos a la obra con un dispositivo que no funciona aumentará el tiempo de recuperación, especialmente «para las organizaciones que tienen muchos trabajadores empleados de forma remota o en escenarios de trabajo híbridos», dijo Honan. Estos empleados “tendrán que acudir a una oficina local o central para recuperar su dispositivo, o una persona de TI tendrá que ir a donde se encuentra el miembro del personal y su dispositivo”. CrowdStrike ha prometido proporcionar más opciones para que los clientes de Windows, servidores y máquinas virtuales Hyper-V afectados vuelvan a funcionar. El domingo, informó que estaba probando “una nueva técnica para acelerar la reparación del sistema afectado”, diciendo que ha estado “haciendo progresos minuto a minuto”, pero no ofreció más detalles. El lunes, “BradW”, un moderador del subreddit de CrowdStrike, anticipó “una reparación en la nube que ha demostrado un gran éxito”, diciendo que próximamente se proporcionará más información y que los clientes tendrán la posibilidad de optar por participar. El liderazgo de CrowdStrike ha seguido disculpándose por la interrupción causada y dijo que ha estado trabajando sin parar para ayudar. “Miles de miembros de nuestro equipo han estado trabajando 24 horas al día, 7 días a la semana para restaurar por completo los sistemas de nuestros clientes”, dijo Shawn Henry, un veterano del FBI que ahora es el CSO de CrowdStrike, en una publicación del domingo en LinkedIn. URL de la publicación original: https://www.databreachtoday.com/blogs/crowdstrike-disruption-restoration-taking-time-p-3673