Ampliar / Una mala actualización del software de seguridad Falcon de CrowdStrike bloqueó millones de PC con Windows la semana pasada. CrowdStrike El lunes por la mañana, muchas de las principales interrupciones causadas por la actualización de seguridad defectuosa de CrowdStrike a finales de la semana pasada se habían solucionado. Los retrasos y cancelaciones de vuelos ya no eran noticia de primera plana, y varias sucursales de Starbucks cerca de mí están tomando pedidos a través de la aplicación una vez más. Pero el esfuerzo de limpieza continúa. Microsoft estima que alrededor de 8,5 millones de sistemas Windows se vieron afectados por el problema, que involucraba un archivo .sys defectuoso que se enviaba automáticamente a las PC con Windows que ejecutaban el software de seguridad Falcon de CrowdStrike. Una vez descargada, esa actualización hizo que los sistemas Windows mostraran la temida Pantalla Azul de la Muerte y entraran en un bucle de arranque. «Si bien las actualizaciones de software pueden causar interrupciones ocasionalmente, los incidentes significativos como el evento CrowdStrike son poco frecuentes», escribió el vicepresidente de seguridad empresarial y de sistemas operativos de Microsoft, David Weston, en una publicación de blog. «Actualmente, calculamos que la actualización de CrowdStrike afectó a 8,5 millones de dispositivos Windows, o menos del uno por ciento de todas las máquinas Windows. Si bien el porcentaje fue pequeño, los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por parte de empresas que ejecutan muchos servicios críticos». La solución «fácil» documentada tanto por CrowdStrike (de quien es culpa directa) como por Microsoft (que ha asumido gran parte de la culpa en los informes generales, en parte debido a una interrupción no relacionada de Azure el 18 de julio que se había producido poco antes) fue reiniciar los sistemas afectados una y otra vez con la esperanza de que descargaran un nuevo archivo de actualización antes de que pudieran bloquearse. Para los sistemas en los que ese método no ha funcionado (y Microsoft ha recomendado a los clientes que reinicien hasta 15 veces para darles a las computadoras la oportunidad de descargar la actualización), la solución recomendada ha sido eliminar el archivo .sys dañado manualmente. Esto permite que el sistema arranque y descargue un archivo reparado, resolviendo los bloqueos sin dejar las máquinas desprotegidas. Para ayudar a aliviar el dolor de ese proceso, Microsoft lanzó durante el fin de semana una herramienta de recuperación que ayuda a automatizar el proceso de reparación en algunos sistemas afectados; implica crear un medio de arranque utilizando una unidad USB de 1 GB a 32 GB, arrancar desde esa unidad USB y usar una de las dos opciones para reparar su sistema. Para los dispositivos que no pueden arrancar a través de USB (a veces esto está deshabilitado en los sistemas corporativos por razones de seguridad), Microsoft también documenta una opción de arranque PXE para arrancar a través de una red. WinPE al rescate La unidad de arranque utiliza el entorno WinPE, una versión ligera de Windows basada en línea de comandos que suelen utilizar los administradores de TI para aplicar imágenes de Windows y realizar operaciones de recuperación y mantenimiento. Una opción de reparación arranca directamente en WinPE y elimina el archivo afectado sin necesidad de privilegios de administrador. Pero si su unidad está protegida por BitLocker u otro producto de cifrado de disco, deberá ingresar manualmente su clave de recuperación para que WinPE pueda leer los datos de la unidad y eliminar el archivo. Según la documentación de Microsoft, la herramienta debería eliminar automáticamente la actualización defectuosa de CrowdStrike sin la intervención del usuario una vez que pueda leer el disco. Si está utilizando BitLocker, la segunda opción de recuperación intenta iniciar Windows en modo seguro utilizando la clave de recuperación almacenada en el TPM de su dispositivo para desbloquear automáticamente el disco, como sucede durante un arranque normal. El modo seguro carga el conjunto mínimo de controladores que Windows necesita para iniciar, lo que le permite localizar y eliminar el archivo del controlador de CrowdStrike sin encontrarse con el problema de BSOD. El archivo se encuentra en Windows/System32/Drivers/CrowdStrike/C-00000291*.sys en los sistemas afectados, o los usuarios pueden ejecutar «repair.cmd» desde la unidad USB para automatizar la reparación. Por su parte, CrowdStrike ha creado un «centro de orientación y remediación» para los clientes afectados. A partir del domingo, la empresa dijo que estaba «probando» el sistema.[ing] Microsoft ha publicado un comunicado en el que ha explicado que la solución de problemas de CrowdStrike es una nueva técnica para acelerar la reparación de los sistemas afectados, pero no ha compartido más detalles al momento de escribir este artículo. Las otras correcciones descritas en esa página incluyen reiniciar varias veces, eliminar manualmente el archivo afectado o usar el medio de arranque de Microsoft para ayudar a automatizar la reparación. La interrupción de CrowdStrike no solo retrasó los vuelos y dificultó pedir café. También afectó a los consultorios médicos y hospitales, los servicios de emergencia 911, los sistemas de registro y tarjetas de acceso de hoteles y las computadoras proporcionadas por el trabajo que estaban en línea y obteniendo actualizaciones cuando se envió la actualización defectuosa. Además de proporcionar correcciones para las PC de los clientes y las máquinas virtuales alojadas en su nube Azure, Microsoft dice que ha estado trabajando con Google Cloud Platform, Amazon Web Services y «otros proveedores de la nube y partes interesadas» para proporcionar correcciones a las máquinas virtuales de Windows que se ejecutan en las nubes de sus competidores.