El incidente generó un fallo en los sistemas de Microsoft e impactó en aerolíneas, bancos, medios de comunicación, bolsas de valores, supermercados y hospitales, entre otros servicios y negocios en todo el mundo.
Una falla de actualización en la plataforma CrowdStrike Falcon, que proporciona monitoreo de seguridad ante ciberamenazas para Windows, ha sido el origen de un problema global cuyo impacto se está viviendo en miles de organizaciones, esto pese a que de acuerdo a lo afirmado por el CEO de CrowdStrike, Geroge Kurtz, “El problema ha sido identificado, aislado y se ha implementado una solución”.
Nuestro especialista en ciberseguridad, Ignacio Espinosa, profundiza que »el software desarrollado por CrowdStrike tiene como intención el cuidado y resguardo de los computadores ante ataques de malware (virus, ransomware, etc), sin embargo en este caso fue este mismo la causa de los problemas que hoy están afectando innumerable empresas y industrias productivas en su conjunto».
»Los motivos de esta situación son muchos y variados, partiendo por la falta de pruebas y validaciones del software de CrowdStrike sobre todos los ambientes y sistemas operativos que están cubiertos por su soporte. Sin embargo, el mayor problema tiene que ver con la dependencia generada sobre este tipo de soluciones de software en ambientes que se deben considerar críticos, y que – por lo tanto – deben incorporar en su diseño escenarios similares a este, en donde la operación de los servicios y sistemas debe hacer frente no sólo a ataques de adversarios, cibercriminales y estados-nación enemigos, sino que además debe tomar en cuenta fallas propias los componentes que integran el sistema».
Es necesario revisar y aprender de este incidente para que tanto los desarrolladores de software que son utilizado en sistemas críticos, como los arquitectos y personas encargadas de implementar estas soluciones en dichos ambientes, incorporen medidas de mitigación en el diseño ante errores y fallas no esperadas de todos los componentes funcionales de sus servicios.
Si bien Kurtz rechazó enfáticamente que lo acaecido fue originado por un ciberataque, esto no significa que no sea tratado como un incidente.
En su cuenta de X (Twitter), el CEO de la compañía señaló que “CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows. Los hosts Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque. El problema ha sido identificado, aislado y se ha implementado una solución. Remitimos a los clientes al portal de soporte para obtener las últimas actualizaciones y continuaremos brindando actualizaciones completas y continuas en nuestro sitio web. Además, recomendamos a las organizaciones que se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales. Nuestro equipo está completamente movilizado para garantizar la seguridad y estabilidad de los clientes de CrowdStrike”.
Las primeras alarmas públicas del incidente llegaron con el inicio de la jornada laboral en Australia, cuando miles de usuarios reportaban en sus organizaciones un error crítico en sus sistemas operativos Microsoft Windows, conocidos como BSOD (Blue Screen of Death, o la «pantalla azul de la muerte», por su traducción al castellano).
Lo que habría ocurrido es que la más reciente actualización de controladores de CrowdStrike Falcon contenía errores. “El fallo corresponde a un archivo «C-00000291*.sys» y no a la última versión del instalador”, indica un informe de la empresa METABASE Q, el que detalla “el horario de la versión problemática del archivo .sys corresponde 04:09 UTC (00:09 horas del viernes en Chile)”. La empresa también indica que “Todos los archivos con la misma nomenclatura «.sys» generados posterior a las 05:27 UTC (01:27 horas en Chile), son archivos notificados por Crowdstrike como estables”.
Esta falla afectó específicamente a los sistemas Windows 10 y 11 que ejecutan el software de seguridad de endpoints de CrowdStrike. Como consecuencia, los usuarios comenzaron a ver el BSOD repetidos (en bucle) con el mensaje de error «DRIVER_OVERRAN_STACK_BUFFER», que impedía el arranque y funcionamiento normal del sistema.
Ante el incidente, CrowdStrike sugirió eliminación del fichero sys, pese a que ello no garantizaba la recuperación de todas las funciones en las organizaciones, dado que los servidores de las están conectados entre sí y, aunque uno “se levante”, no asegurar que el resto funcione.
Varios medios también sostienen que los propios servidores de CrowdStrike estuvieron caídos por un tiempo.
El impacto del incidente ha sido mayúsculo y casi sin precedentes a nivel global. Organizaciones de todo el mundo han informado de importantes cortes de servicio, incluidos aerolínea y aeropuertos, bancos, servicios de gobierno, medios de comunicación, supermercados, ferrocarriles y hospitales, entre otros.
Por su parte, Microsoft también inició una investigación por un problema que afecta a sus aplicaciones y sistemas operativos 365, advirtiendo a los usuarios que anticipen una “degradación del servicio”.
Para comprobar si la versión del sensor CrowdStrike se ve afectada por el problema BSOD, se pueden realizar tres pasos:
- Iniciar el sistema en modo seguro y comprobar la versión del sensor CrowdStrike Falcon instalada en los sistemas. La actualización problemática parece estar afectando a varias versiones de sensores, incluida la versión 6.58.
- Comprbar la fecha de instalación del sensor CrowdStrike Falcon. Si coincide con el inicio de los problemas de BSOD (04:09 UTC, 00:09 horas del viernes 19 de julio en Chile), es probable que sea la causa.
- Buscar el error BSOD asociado con este problema, que es “DRIVER_OVERRAN_STACK_BUFFER”. Si ve este error, es probable que su sistema esté afectado.