La empresa de ciberseguridad CrowdStrike ha proporcionado detalles sobre la causa y la resolución de un problema generalizado que la semana pasada provocó el bloqueo de millones de dispositivos Windows. En una revisión preliminar posterior al incidente, la empresa explicó que un fallo en la validación de una actualización de seguridad rutinaria fue la causa de los bloqueos.
El 19 de julio a las 4:09 AM UTC, CrowdStrike lanzó una actualización programada de “Contenido de Respuesta Rápida” para su sensor de seguridad Falcon que se ejecuta en dispositivos Windows. Este tipo de actualización permite a CrowdStrike adaptar rápidamente su software para detectar ciberamenazas nuevas y emergentes mediante la recopilación de datos de telemetría y el despliegue de nuevos patrones de detección.
Sin embargo, un defecto no detectado en esta actualización en particular provocó que los sistemas Windows que ejecutaban la versión 7.11 y superiores del sensor Falcon se bloquearan con la infame “Pantalla azul de la muerte” si estaban conectados entre las 4:09 AM y las 5:27 AM UTC de ese día y recibían la actualización defectuosa. Los sistemas Apple macOS y Linux no se vieron afectados.
Relacionado: CrowdStrike y Microsoft avanzan en remediar las 8.5 millones de PCs afectadas por actualización defectuosa
La investigación de CrowdStrike reveló que las caídas se debían a una lectura de memoria fuera de los límites que se activaba cuando el sensor Falcon cargaba la actualización problemática. Aunque la empresa cuenta con controles de validación para detectar este tipo de errores antes de su despliegue, este defecto concreto no se detectó.
En la revisión posterior al incidente, CrowdStrike presentó su plan para prevenir problemas similares en el futuro. Entre estas medidas se encuentra la mejora de las pruebas de software con técnicas como fuzzing, inyección de fallos, pruebas de estrés y comprobaciones de validación ampliadas.
Mejora de la gestión de errores, mediante el refuerzo de la capacidad del sensor Falcon para gestionar los errores derivados de actualizaciones problemáticas, con el fin de evitar bloqueos.
La implementación de un proceso de despliegue perfeccionado, bajo un enfoque escalonado que comienza con un subconjunto de sistemas, mejora de la supervisión durante los despliegues, mayor control de los clientes sobre cuándo y dónde se aplican las actualizaciones y notificación previa. Y revisiones de código por terceros.
Te puede interesar: Microsoft abandona el puesto de observador en junta de OpenAI
En una declaración publicada en su sitio web, Shawn Henry, director de seguridad de CrowdStrike, reconoció que pese a los 10 años de operación de la compañía y el esfuerzo por ganarse la confianza de los clientes, “el viernes fallamos (…). La confianza que fuimos ganando gota a gota a lo largo de los años se perdió a mares en cuestión de horas”, agregó.
“Pero esto no es nada en comparación con el dolor que este problema ha causado a nuestros clientes y partners. Hemos defraudado a las mismas personas a las que nos comprometimos a proteger, y decir que nos sentimos desolados es quedarse corto”, dijo el directivo.
A principios de esta semana, The Washington Post reveló que el Congreso de los Estados Unidos habría extendido una citación al director general de CrowdStrike, George Kurtz, para presentar su declaración sobre el incidente y los remedios que preparaba la compañía para evitar que sucediera nuevamente.