CrowdStrike ha detallado qué fue lo que ocasionó la caída de su plataforma, que afectó a equipos Windows y que “ahora no puede repetirse”, ya que ha implementado una serie de medidas que neutralizarían un incidente similar en el futuro.
MIRA: El fallo mundial de CrowdStrike no afectó a una aerolínea que usaba una versión de Windows de hace 32 años
La compañía de ciberseguridad ha publicado un análisis de causa raíz (RCA, por sus siglas en inglés), en el que ha ampliado la información relacionada con el incidente que produjo un apagón a nivel mundial el pasado 19 de julio.
Este informe, por tanto, ofrece más datos de los compartidos previamente en su revisión preliminar posterior al incidente (PIR) y brinda más información “sobre los hallazgos, las mitigaciones y los detalles técnicos” relacionados con la falla.
En primer lugar, ha reconocido que seguirá investigando acerca de lo sucedido, ya que aún hay clientes afectados por la actualización defectuosa de su sensor. No obstante, la gran mayoría han podido restablecer sus servicios con normalidad.
Así, ha explicado que Falcon, el sensor que desencadenó la caída mundial, se actualizó en febrero de 2024 con una nueva capacidad que le permitía visualizar posibles técnicas de ataque novedosos que pudiesen abusar de ciertos mecanismos de Windows.
Esta característica “predefinió un conjunto de campos para que Rapid Response Content (RCA) recopilase datos”, una capacidad que “se desarrolló y probó de acuerdo con los procesos de desarrollo de ‘software’ estándar de la compañía.
Ya el 5 de marzo, se produjo el primer RCA para el archivo del canal 291 como parte de una actualización de configuración de contenido, con tres versiones que “funcionaron como se esperaba en producción”, según este documento.
El 19 de julio de 2024, esta actualización se entregó a ciertos ‘hosts’ de Windows, con la capacidad lanzada en febrero de este año incluida. Entonces, el sensor estaba dispuesto a recibir 20 fuentes o campos de entrada, en lugar de los 21 que proporcionó dicha actualización.
“La falta de coincidencia resultó en una lectura de memoria fuera de los límites, lo que provocó un bloqueo del sistema”, ha añadido, subrayando que, según sus análisis “este error no era explotable por un actor de amenazas”.
En este sentido, Crowdstrike ha adelantado que este escenario con el archivo defecutuoso de canal con número 291 “ahora no puede repetirse” y ha informado de las mejoras de proceso y los pasos de mitigación que está implementando “para garantizar una resiliencia aún mayor”.
En primer lugar, ha comentado que ha actualizado los procedimientos de prueba del sistema de configuración de contenido, con tests actualizados para el desarrollo de tipos de plantillas para el sensor, que contienen campos predefinidos para detectar las amenazas.
También ha añadido nuevas capas de seguridad y controles para el sistema de configuración de contenido, proporcionando a sus clientes un control adicional sobre la implementación de actualizaciones de RCA.
También ha recomendado a sus clientes que eviten la creación de archivos problemáticos del canal 291 y ha contratado a dos proveedores de seguridad de ‘software’ independientes para que realicen una revisión más exhaustiva del código del sensor Falcon y de los procesos de control de calidad y comuniación de extremo a extremo.
Respuestas
