CONTACTO
CONTACTO

Cómo el Error de CrowdStrike Reveló Fallos Críticos en la Seguridad Informática

Para más información
Teléfono:
919 11 63 43
Email:
vs-sistemas@vs-sistemas.com
  • Blog

El Desastre de CrowdStrike: Lecciones Aprendidas y Recomendaciones

Esquema detallado del proceso de actualización y fallo del sistema Falcon de CrowdStrike que causó la Pantalla Azul de la Muerte en sistemas Windows, destacando el error de asignación de memoria y las medidas de recuperación implementadas
Esquema detallado del proceso de actualización y fallo del sistema Falcon de CrowdStrike que causó la Pantalla Azul de la Muerte en sistemas Windows, destacando el error de asignación de memoria y las medidas de recuperación implementadas

Resumen del Incidente

CrowdStrike, una destacada empresa estadounidense que ofrece servicios de seguridad informática, sufrió un incidente significativo con su producto Falcon, ampliamente instalado en máquinas con sistema operativo Windows. El 19 de julio de 2024, CrowdStrike emitió un parche para actualizar su software a través de Internet, lo que provocó que muchas máquinas Windows no se iniciaran correctamente y mostraran la temida «Pantalla Azul de la Muerte» (BSOD). Este problema requería que los profesionales de TI arrancaran cada máquina en modo seguro y eliminaran manualmente un archivo del software Falcon para que el sistema volviera a funcionar correctamente. Aunque la causa raíz se identificó rápidamente, la solución fue intensiva en términos de tiempo y esfuerzo físico.

Responsabilidades y Fallos

En este caso, la responsabilidad recae en CrowdStrike, ya que fueron ellos los encargados de revisar el código y realizar el control de calidad de los paquetes. Este incidente resalta la importancia de implementar actualizaciones de manera escalonada para limitar el impacto de posibles errores graves. A pesar de que Microsoft también tiene cierta responsabilidad al emitir las certificaciones de software necesarias, la calidad del producto final es responsabilidad de los terceros como CrowdStrike.

El desastre de Crowdstrike: Detalles del Incidente

Acerca de Falcon y EDR

Para comprender mejor el problema, es esencial entender el componente afectado y su nivel de privilegio. El software que causó este problema fue el controlador Endpoint Detection and Response (EDR) de CrowdStrike, que forma parte de la plataforma llamada CrowdStrike Falcon Sensor.

¿Qué hace Falcon’s EDR?

EDR es una solución de ciberseguridad diseñada para monitorear y responder a amenazas en endpoints como computadoras, servidores y dispositivos móviles. Sus funciones clave incluyen la recopilación de datos, detección de amenazas, respuesta a incidentes, análisis forense e integración de inteligencia de amenazas.

El Rol del Controlador EDR

El Falcon Sensor EDR incluye un componente de controlador que funciona a nivel de kernel. Este controlador monitorea y recopila datos en tiempo real desde los puntos finales, cargándose en la fase de inicialización previa al sistema operativo, conocida como fase ELAM (Early Launch Anti Malware). Los controladores ELAM se inicializan primero para proteger el sistema desde el arranque. El administrador de arranque de Windows carga estos controladores para detectar y bloquear cualquier malware que intente cargarse al principio del proceso de arranque.

Recepción de Actualizaciones del Controlador EDR

Falcon recibe actualizaciones automáticamente desde la infraestructura en la nube de CrowdStrike, las cuales pueden ocurrir varias veces al día. Esta característica facilitó la rápida propagación del incidente BSOD.

Causa del Problema

La actualización de CrowdStrike, diseñada para mitigar una vulnerabilidad en las “named pipes” explotada por ciertos ciberataques, incluía cambios en los archivos de configuración del sensor. Un archivo específico (C-00000291*.sys) contenía un error lógico que causaba el bloqueo del sistema operativo, provocando un bucle de arranque. La actualización del archivo de canal desencadenó un error lógico que provocó un error de asignación de memoria. Además, había un error en la lógica de validación de las asignaciones de memoria. Dado que la lógica de validación tampoco detectó ningún problema con la lógica de asignación de memoria, el controlador simplemente procedió a funcionar como de costumbre. Debido a una asignación de memoria incorrecta, esto provocó que el controlador se bloqueara con PAGE_FAULT_IN_NONPAGED_AREA error.

Solución Implementada

Para resolver el problema, los responsables de mantenimiento informático debían acceder a los sistemas físicamente, iniciar en modo seguro y eliminar manualmente el archivo C-00000291*.sys. Una vez hecho esto, el sistema podía reiniciarse y volver a funcionar correctamente. Actualmente, el problema está solucionado y el archivo corrupto ya no se distribuye, por lo que es seguro actualizar el cliente Falcon a través de los canales habituales.

Conclusiones y Lecciones Aprendidas

Este incidente ha puesto de manifiesto varios puntos importantes:

  1. Riesgos de la Dependencia: La escala de este desastre resalta los riesgos asociados con depender excesivamente de un solo sistema o proveedor.
  2. Peligros del Mal Código: Un mal código puede llevar a los sistemas a quedar inoperativos y, en casos extremos, a provocar daños en el hardware.
  3. Importancia del Control de Calidad: Es crucial contar con un control de calidad riguroso para asegurar que los paquetes entregados cumplan con los estándares esperados.
  4. Actualizaciones Escalonadas: Las actualizaciones escalonadas pueden prevenir catástrofes generalizadas.
  5. Monitorización y Respuesta: La capacidad de monitorizar y responder rápidamente a incidentes es vital para minimizar el impacto.

Las empresas deben aprender de este incidente y reforzar sus procedimientos de control de calidad, además de considerar la implementación de actualizaciones escalonadas para mitigar riesgos.

Referencias:
* DATAPRISE
* MEDIUM
* THENEWSTACK

COMPARTIR

También te puede interesar

  • Blog
Destinux: gestión de viajes corporativos
  • Blog
Reto Microsoft – Founderz
  • Blog
Factorial: solución gestión de RR.HH
  • Blog
BizzApps Day blog
EVENTOS Y WEBINARS
BLOG
CONTACTO
Resumen de Cookies

Una Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.

Cookies utilizadas en el sitio Web

A continuación se clasifican las cookies utilizadas por este sitio Web:

  • Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
  • Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian la dirección IP de conexión, el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
  • Cookies de análisis: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
  • Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.
  • Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
  • Cookies propias o de terceros: Las cookies “propias”, son las gestionadas por el dominio al que el usuario está accediendo y del que solicita un determinado servicio. No obstante, la Web puede utilizar servicios de terceros que, por cuenta del titular de la Web, recopilaran información con fines estadísticos, de uso de la Web por parte del usuario y para la prestación de otros servicios relacionados con la actividad de la Web y otros servicios de Internet. Generalmente, son enviadas al equipo del usuario desde un dominio diferente al nuestro que es gestionado por otra entidad colaboradora.
  • Cookies de sesión o permanentes: Las cookies de sesión se asignan al dispositivo desde el que el usuario esté navegando sólo por la duración de la visita a la web, estas cookies desaparecen automáticamente cuando el usuario cierra el navegador. Si las cookies son permanentes los datos se almacenan en el equipo del usuario utilizado para navegar, siendo su duración temporal la mínima imprescindible atendiendo a la finalidad de su uso. La duración temporal de las cookies permanentes y su fecha de expiración puede ser consultada a través de la configuración de su navegador.
  • Cookies de redes sociales: Las cookies de RRSS pueden almacenarse en su navegador mientras navega por dichas redes, por ejemplo, cuando utiliza el botón de compartir contenidos en alguna red social. La información sobre las cookies de las redes sociales que utiliza esta web puede verla en sus propias políticas de cookies.