Respuesta a incidentes y violaciones, Operaciones de seguridad CrowdStrike confirma una actualización de software defectuosa para el sensor Falcon y está implementando una soluciónPrajeet Nair (@prajeetspeaks) ,Mathew J. Schwartz (euroinfosec) • 19 de julio de 2024 Imagen: CrowdStrike Los bancos, las aerolíneas, las principales empresas de medios y otros están experimentando interrupciones comerciales debido a una interrupción masiva y global de TI vinculada a las PC con Windows. Ver también: Splunk nombrado 10 veces líder en el Cuadrante Mágico ™ de Gartner® para seguridad SIEM y los expertos en TI informan que la interrupción parece deberse a una actualización defectuosa del software Falcon lanzada por la empresa de ciberseguridad CrowdStrike con sede en Austin, Texas, que deja a los sistemas Windows mostrando la temida «pantalla azul de la muerte». CrowdStrike dijo que está al tanto de las interrupciones. “CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows”, dijo un portavoz a Information Security Media Group en un comunicado. “Los hosts Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque. El problema ha sido identificado, aislado y se ha implementado una solución”. Microsoft dijo que las interrupciones parecieron comenzar alrededor de las 6 pm hora del este de EE. UU. el jueves y que está tomando “acciones de mitigación”, incluidas las interrupciones de Microsoft 365. Numerosas otras organizaciones en todo el mundo también han informado interrupciones. CrowdStrike el viernes por la mañana detalló una solución alternativa para la actualización de software defectuosa mientras preparaba una solución más sólida. La compañía ha recomendado a todos los clientes que permanezcan atentos. “Remitimos a los clientes al portal de soporte para obtener las últimas actualizaciones y continuaremos brindando actualizaciones completas y continuas en nuestro sitio web”, dijo el portavoz de CrowdStrike. “Además, recomendamos a las organizaciones que se aseguren de comunicarse con los representantes de CrowdStrike a través de los canales oficiales. Nuestro equipo está completamente movilizado para garantizar la seguridad y la estabilidad de los clientes de CrowdStrike”. “El equipo de CrowdStrike se toma en serio su responsabilidad como empresa global de ciberdefensa. Conozco a gente que está trabajando duro para restablecer los servicios y solucionar este problema”, dijo Ian Thornton-Trump, CISO de Cyjax. “Pero sirve para recordar a todo el mundo que la infraestructura digital de la que dependemos es frágil. Como custodios de las defensas de TI y ciberseguridad, necesitamos tener conversaciones sobre resiliencia. Puedo decirles que si la ‘actualización de un mal proveedor’ no es parte de un manual de respuesta a incidentes, debería ser el lunes”. Según se informa, las interrupciones resultantes han provocado retrasos o cancelaciones de vuelos en varios aeropuertos del Reino Unido, la UE, Malasia, India y otros lugares, y el Aeropuerto Internacional de Hong Kong quedó «en caos» ya que el personal volvió a utilizar procedimientos manuales para registrar a los pasajeros, informó South China Morning Post. La Administración Federal de Aviación de Estados Unidos dijo que está «monitoreando de cerca un problema técnico que afecta a los sistemas de TI de las aerolíneas estadounidenses», en una publicación en la plataforma social X. «Varias aerolíneas han solicitado asistencia de la FAA con paradas en tierra hasta que se resuelva el problema». Delta, United y American Airlines informaron que se quedaron en tierra temporalmente, y las dos últimas reanudaron posteriormente algunos vuelos, aunque con demoras. En Australia, los usuarios del aeropuerto informaron que las pantallas de información de vuelos en el aeropuerto de Sídney se quedaron en blanco, mientras que los sistemas de pago de autoservicio en las cadenas de supermercados Woolworths y Coles muestran mensajes de error. Las emisoras nacionales ABC y Network Ten informaron cortes, al igual que Bendigo y Adelaide Bank del país. En Gran Bretaña, los bancos, los operadores ferroviarios y los consultorios médicos informaron interrupciones, al igual que Sky News, que no pudo «transmitir televisión en vivo esta mañana» en Gran Bretaña o Australia, dijo David Rhodes, su presidente ejecutivo, en una publicación a X. «Estamos trabajando duro para restablecer todos los servicios». CrowdStrike detalla la solución alternativa No todas las versiones de CrowdStrike Falcon están afectadas. «Entendemos que cualquier empresa que ejecute las versiones 7.15 y 7.16 se ve afectada por la interrupción, pero la 7.17 parece estar bien», dijo Ajay Unni, director ejecutivo de la empresa australiana de servicios de ciberseguridad StickmanCyber. Varios administradores de TI informan que recibieron esta solución alternativa del equipo de soporte de CrowdStrike: Arranque Windows en modo seguro o en el entorno de recuperación de Windows; Navegue hasta el directorio C:/Windows/System32/drivers/CrowdStrike; Localice el archivo que coincida con C-00000291*sys y elimínelo; Arranque el host normalmente. El Centro Nacional de Seguridad Cibernética de Irlanda dijo que el archivo de canal defectuoso 291 es el culpable, y que CrowdStrike lo ha reemplazado con una versión sin fallas que ahora está distribuyendo a través de canales de actualización automática. «Esperamos que esto mitigue una mayor expansión» del problema, dijo el NCSC. «En el caso de los sistemas que ya fallan, algunos se reinician a un estado de funcionamiento normal y creemos que deberían elegir el nuevo archivo de canal». Pero otros sistemas «simplemente fallan en bucle y podrían necesitar una intervención manual». Aplicar la solución alternativa a través de la invención manual puede estar bien en teoría, pero sigue siendo difícil de implementar a escala, ya que no se puede automatizar, dijo el experto en ciberseguridad británico Kevin Beaumont en una publicación en Mastodon. Además, no está claro qué efecto podría tener la eliminación del archivo (por ejemplo, si comprometería la capacidad del sensor Falcon para detectar o bloquear código malicioso). «Si alguien se pregunta cuál será el impacto de CrowdStrike, es realmente malo. Las máquinas no arrancan», dijo. «Básicamente, CrowdStrike estará en problemas». «Las herramientas de seguridad informática están diseñadas para garantizar que las empresas puedan seguir operando en el peor de los casos de una violación de datos, por lo que ser la causa principal de una interrupción global de TI es un desastre absoluto», dijo Unni de StickmanCyber. Planes de respuesta a incidentes activados Múltiples equipos de soporte informático han informado de la implementación de planes de respuesta a incidentes para hacer frente a las interrupciones, o al menos prepararse para horas extras importantes. Algunos administradores de TI han estado recurriendo a foros de mensajes en busca de asesoramiento sobre soluciones alternativas, así como sobre la posible eficacia de cualquier actualización que CrowdStrike pudiera impulsar. “Tengo el 40% de los servidores Windows y el 70% de las computadoras cliente atrapadas en un bucle de arranque (más de 1000 puntos finales en total), uno publicó en el subreddit r/crowdStrike. “No creo que CrowdStrike pueda solucionarlo, ¿verdad? Cualquier nuevo agente que envíen no será recibido por esos puntos finales porque ni siquiera han terminado de arrancar”. “Aquí en Filipinas, específicamente en mi empleador, es como si Thanos chasqueara los dedos”, publicó otro. “La mitad de toda la organización está inactiva debido al bucle BSOD. Comenzó a las 2 p. m. y todavía continúa. Qué viernes”. Muchos informan que tienen que actualizar de inmediato una gran cantidad de PC, en algunos casos por equipos en persona. “Estoy planeando un viaje de fin de semana a 15 sitios con todo el personal de TI para poner en funcionamiento los sistemas uno por uno. «Es muy gracioso», dijo un administrador de TI australiano que supervisa alrededor de 200 PC con Windows en una publicación en Mastodon, y señaló que todos los sistemas usan cifrado de disco completo BitLocker más una solución de contraseña de administrador local. «Estamos 100% bloqueados con BitLocker y LAPS, por lo que tengo que reactivar cada máquina a mano para eliminar el archivo, según tengo entendido», dijo el administrador. «Estoy feliz de aceptar consejos sobre una mejor manera». Otros también informaron que necesitaban que el personal de TI se hiciera cargo de los teclados para lidiar con los sistemas afectados. «Todos nuestros equipos de trabajo usan BitLocker para ciertos requisitos de contratos gubernamentales (consultoría). Por lo tanto, ningún empleado puede hacer la solución oficial por su cuenta, ya que no tendrán la clave de recuperación de BitLocker», publicó otro administrador de TI en el subreddit r/sysadmin. «Así que supongo que ahí se va el fin de semana». Los expertos en seguridad dijeron que la interrupción debería generar preguntas agudas sobre posibles puntos únicos de falla en entornos Windows. «Voy a decir esto, pero tal vez, solo tal vez, un proveedor que tenga la capacidad de cambiar todos sus controladores de kernel en el campo al mismo tiempo sin ninguna aprobación de TI o de los usuarios finales es un modelo que debemos reconsiderar… @CrowdStrike», dijo Jake Williams, miembro de la facultad del Instituto de Seguridad de Redes Aplicadas y ex miembro del equipo de piratería de élite de la Agencia de Seguridad Nacional en una publicación en X. Actualización 19 de julio de 2024 10:24 UTC: Se agregó la declaración de CrowdStrike y el análisis del NCSC de Irlanda. Actualización 19 de julio de 2024 11:09 UTC: Se agregó la declaración de la FAA. URL de la publicación original: https://www.databreachtoday.com/banks-airlines-disrupted-as-mass-outage-hits-windows-pcs-a-25811