Proveedor de ciberseguridad informa que «un número significativo está nuevamente en línea y operativo» Mathew J. Schwartz (euroinfosec) • 22 de julio de 2024 Imagen: Shutterstock Microsoft dijo que 8,5 millones de hosts de Windows se vieron afectados por la interrupción del viernes causada por una actualización de contenido de software defectuosa de CrowdStrike. Ver también: 5 requisitos para DLP moderno Esto representa «menos del 1% de todas las máquinas Windows», dijo David Weston, vicepresidente de seguridad empresarial y del sistema operativo de Microsoft, en una publicación de blog. Aun así, esta parece ser la interrupción de TI más grande de la historia. «Si bien el porcentaje fue pequeño, los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por parte de empresas que ejecutan muchos servicios críticos», dijo Weston. Señal de interrupciones masivas, incluso para consultorios médicos y hospitales, bancos y bolsas de valores, tiendas, cientos de miles de viajeros en forma de cancelaciones de vuelos y trenes, además de preocupaciones de seguridad pública, cruce de fronteras y mucho más caos. El lunes, muchas organizaciones dijeron que, si bien las interrupciones están disminuyendo, aún tienen que resolver los retrasos resultantes (ver: CrowdStrike, la interrupción de Microsoft descubre grandes problemas de resiliencia). Los detalles técnicos que CrowdStrike publicó el sábado dijeron que «el detonante» de la interrupción ocurrió el viernes a las 04:09 UTC, cuando, como parte de las operaciones habituales, la empresa envió un archivo de configuración actualizado al componente de detección de amenazas del software de detección y respuesta de endpoints Falcon de sus clientes. El archivo comienza con C-00000291- y termina con .sys y no es un controlador de kernel, sino un archivo de firma de amenazas para el sensor de la empresa. «Las actualizaciones de configuración del sensor son una parte continua de los mecanismos de protección de la plataforma Falcon», dijo el proveedor. «Esta actualización de configuración desencadenó un error lógico que resultó en un bloqueo del sistema y una pantalla azul – BSOD – en los sistemas afectados», refiriéndose al error de bloqueo de Windows conocido como la «pantalla azul de la muerte». La empresa actualizó rápidamente el archivo defectuoso para corregirlo y ha estado trabajando para ayudar a las organizaciones afectadas a lidiar con las consecuencias. “CrowdStrike sigue centrándose en restaurar todos los sistemas lo antes posible”, dijo la compañía en una publicación de Sunday Linked. “De los aproximadamente 8,5 millones de dispositivos Windows que se vieron afectados, un número significativo está nuevamente en línea y operativo”. CrowdStrike agregó: “Los sistemas que ejecutan Linux o macOS no usan el archivo de canal 291 y no se vieron afectados”. Numerosos administradores de TI informan que trabajaron sin parar durante el fin de semana para intentar restaurar los sistemas Windows afectados. En los escenarios de mejor cuidado, solo es necesario reiniciar los sistemas para que Windows elimine automáticamente la versión defectuosa del archivo de canal 291. Para muchos hosts de Windows, la solución es más compleja. El trabajo no es glamoroso: “son miles y miles de profesionales de TI que van, literalmente, sistema por sistema y eliminan el archivo problemático”, dijo un administrador en una publicación en Reddit. Por su parte, Microsoft dijo que ha desplegado cientos de sus «ingenieros y expertos para trabajar directamente con los clientes para restaurar los servicios», y que está en contacto con otros proveedores de la nube, incluidos Google Cloud Platform y Amazon Web Services, para tratar de ayudar a acelerar la recuperación. A medida que continúa la recuperación, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha advertido a los usuarios que tengan cuidado con los intentos de los delincuentes de aprovechar la interrupción del servicio en su beneficio, incluso mediante ataques de ingeniería social. «Los actores de amenazas cibernéticas continúan aprovechando la interrupción para realizar actividades maliciosas, incluidos intentos de phishing», dijo CISA (ver: Sitios web falsos, phishing surge tras la interrupción de CrowdStrike). La recuperación completa aún está por venir Los expertos dijeron que la recuperación total de todos los sistemas afectados puede llevar semanas. Algunas herramientas y soluciones alternativas parecen estar ayudando a acelerar el proceso para al menos un subconjunto de organizaciones que usan CrowdStrike. El domingo, Microsoft, en colaboración con CrowdStrike, lanzó una herramienta de recuperación actualizada, diseñada para funcionar con clientes y servidores de Windows, así como con máquinas virtuales Hyper-V, que implica una unidad USB de arranque. Descargue una versión firmada de la herramienta de recuperación desde el centro de descargas de Microsoft. Microsoft dijo que los administradores necesitarán «una clave de recuperación de BitLocker para cada dispositivo afectado habilitado para BitLocker en el que se usará el dispositivo USB generado». La herramienta ofrece dos opciones de recuperación potenciales: Entorno de preinstalación de Windows: esta versión liviana de Windows PE del sistema operativo está diseñada para realizar reparaciones y no requiere privilegios de administrador local, aunque «si el dispositivo usa BitLocker, es posible que deba ingresar manualmente la clave de recuperación de BitLocker antes de poder reparar un sistema afectado», dijo. Modo seguro: «Esta opción para recuperarse del modo seguro puede habilitar la recuperación en dispositivos habilitados para BitLocker sin requerir la entrada de claves de recuperación de BitLocker», dijo. «Necesita acceso a una cuenta con derechos de administrador local en el dispositivo». Esto funcionará con dispositivos que usen un Módulo de plataforma segura para proteger el sistema, aunque es posible que un usuario deba ingresar su código PIN de TPM si se ha configurado uno. No funcionará con ningún disco cifrado. Como se destaca, una deficiencia es que «si el dispositivo está encriptado, esta herramienta no podrá evitarlo», dijo el experto en ciberseguridad Brian Honan en una publicación en la plataforma social Mastodon. Por lo tanto, para los sistemas configurados para usar encriptación de disco completo (como los expertos en ciberseguridad recomiendan desde hace mucho tiempo), el proceso de recuperación suele ser mucho más laborioso y frustrante. Los requisitos exactos pueden variar según el tipo de software de gestión de TI que se utilice, el tipo de encriptación de disco completo que se utilice y más. Para muchos usuarios, se habrá guardado una copia de su clave de recuperación de Bitlocker de forma predeterminada en su cuenta de Microsoft y se podrá acceder a ella iniciando sesión en la cuenta desde una computadora diferente, que normalmente será su teléfono inteligente. En algunos casos, los administradores también pueden compilar listas de claves de Bitlocker. El siguiente paso implicaría que el personal de TI inicie cada sistema en persona, utilizando una memoria USB que ejecute la utilidad de Microsoft y luego ingrese la clave de recuperación de Bitlocker por sistema. Algunos administradores informan que han tenido éxito al encontrar formas de acelerar el proceso de recuperación dentro de su propio entorno, por ejemplo, utilizando un entorno de ejecución de prearranque para sistemas conectados a la red e involucrando a los usuarios finales. «Creé un script + proceso para habilitar el autoservicio del usuario final de las máquinas BitLockered aún afectadas por este incidente», publicó un administrador en Reddit. «Esto le permitirá enviar instrucciones a sus usuarios finales para que inicien PXE y luego esperen un minuto mientras su PC ejecuta automáticamente una secuencia de tareas que desbloqueará BitLocker + solucionará el problema en el volumen del sistema operativo y los reiniciará en un sistema operativo que funcione». Se promete una técnica acelerada ¿Podrían surgir otros enfoques que ahorren tiempo en el futuro? El domingo, CrowdStrike presentó una vista previa del lanzamiento de «una nueva técnica para acelerar la remediación del sistema afectado» que ha estado probando con los clientes. «Estamos en el proceso de poner en funcionamiento una opción de suscripción a esta técnica. Estamos avanzando minuto a minuto». El lunes, CrowdStrike actualizó aún más su software de administración para brindarles a los administradores la capacidad de identificar todos los hosts de Windows que aún tienen la actualización de configuración del sensor defectuosa. Para acceder a esa vista, se indica que hay que acceder al panel de control de CrowdStrike y luego navegar a: Next-Gen SIEM > Gestión de registros > Paneles de control. Algunos administradores han informado de que las distintas iteraciones del panel de control no han arrojado resultados fiables, en parte, porque parece que no cataloga todos los distintos tipos de sistemas que pueden estar implicados de forma completa. «Me gustaría que este panel de control personalizado dejara de cambiar», publicó uno en Reddit. «Me piden que informe de las cifras de esta situación y suben, bajan y vuelven a subir». El administrador añadió: «Es difícil cuando este producto ha manchado mi reputación en mi trabajo (sea justo o no) y ni siquiera puedo producir métricas consistentes». URL de la publicación original: https://www.databreachtoday.com/microsoft-sees-85m-systems-hit-by-faulty-crowdstrike-update-a-25819