CrowdStrike detalló qué fue lo que ocasionó la caída de su plataforma, que afectó a equipos Windows y que “ahora no puede repetirse”, ya que implementó una serie de medidas que neutralizarían un incidente similar en el futuro.
La compañía de ciberseguridad publicó un análisis de causa raíz (RCA, por sus siglas en inglés), en el que amplió la información relacionada con el incidente que produjo un apagón a nivel mundial, el pasado 19 de julio, en especial en los aeropuertos en diversas partes del planeta.
Este informe ofrece más datos de los compartidos previamente en su revisión preliminar posterior al incidente (PIR) y brinda más información “sobre los hallazgos, las mitigaciones y los detalles técnicos” relacionados con la falla.
En primer lugar, reconoció que seguirá investigando acerca de lo sucedido, ya que aún hay clientes afectados por la actualización defectuosa de su sensor. No obstante, la gran mayoría pudo restablecer sus servicios con normalidad.
Así, precisó que Falcon, el sensor que desencadenó la caída mundial, se actualizó en febrero de 2024 con una nueva capacidad que le permitía visualizar posibles técnicas de ataque novedosos que pudiesen abusar de ciertos mecanismos de Windows.
Apagón informático por CrowdStrike afectó a 8,5 millones de computadores, según Microsoft
Esta característica “predefinió un conjunto de campos para que Rapid Response Content (RCA) recopilarse datos”, una capacidad que “se desarrolló y probó de acuerdo con los procesos de desarrollo de ‘software’ estándar de la compañía.
Ya el 5 de marzo, se produjo el primer RCA para el archivo del canal 291 como parte de una actualización de configuración de contenido, con tres versiones que “funcionaron como se esperaba en producción”, según este documento.
El 19 de julio de 2024, esta actualización se entregó a ciertos ‘hosts’ de Windows, con la capacidad lanzada en febrero de este año incluida. Entonces, el sensor estaba dispuesto a recibir 20 fuentes o campos de entrada, en lugar de los 21 que proporcionó dicha actualización.
“La falta de coincidencia resultó en una lectura de memoria fuera de los límites, lo que provocó un bloqueo del sistema”, aseguró, subrayando que, según sus análisis “este error no era explotable por un actor de amenazas”.
En este sentido, Crowdstrike adelantó que este escenario con el archivo defectuoso de canal con número 291 “ahora no puede repetirse”, e informó de las mejoras de proceso y los pasos de mitigación que está implementando “para garantizar una resiliencia aún mayor”.
En primer lugar, ha comentado que ha actualizado los procedimientos de prueba del sistema de configuración de contenido, con tests actualizados para el desarrollo de tipos de plantillas para el sensor, que contienen campos predefinidos para detectar las amenazas.
También añadió nuevas capas de seguridad y controles para el sistema de configuración de contenido, proporcionando a sus clientes un control adicional sobre la implementación de actualizaciones de RCA.
La firma recomendó a sus clientes que eviten la creación de archivos problemáticos del canal 291 y ha contratado a dos proveedores de seguridad de ‘software’ independientes para que realicen una revisión más exhaustiva del código del sensor Falcon y de los procesos de control de calidad y comunicación de extremo a extremo.
