Por: José C. Nieves-Pérez

07/30/2024

El 19 de julio de 2024, ocurrió un incidente significativo que involucró a CrowdStrike Falcon y Microsoft Windows. Un error de configuración en una actualización del sensor de CrowdStrike Falcon provocó fallos del sistema y pantallas azules de la muerte (BSOD) en numerosos dispositivos. Este problema afectó a sistemas que ejecutaban la versión 7.11 y superiores del sensor Falcon, y se produjo entre las 04:09 UTC y las 05:27 UTC de ese día.

Causa del Problema

El fallo se debió a un error lógico en la actualización de los archivos de configuración del sensor, específicamente en el archivo identificado como «Channel File 291.» Esta actualización estaba destinada a mejorar la detección de nuevas amenazas, pero resultó en fallos en los sistemas al evaluar la ejecución de «named pipes» en Windows​ (CrowdStrike)​​ (Wikipedia)​.

Impacto y Consecuencias

El impacto del incidente fue extenso, afectando aproximadamente a 8.5 millones de dispositivos a nivel mundial. La restauración de los sistemas afectados requirió intervenciones manuales, como iniciar los dispositivos en modo seguro o en el entorno de recuperación de Windows para eliminar los archivos problemáticos. Se estimó que las pérdidas económicas para las principales empresas estadounidenses podrían haber alcanzado los 5.4 mil millones de dólares, aunque no todas estas pérdidas fueron cubiertas por seguros​ (Wikipedia)​.

CrowdStrike tomó medidas inmediatas para solucionar el problema y ha estado trabajando con los clientes para mitigar los efectos del incidente. Microsoft también se involucró para ayudar a los usuarios afectados, dado que muchos dispositivos afectados formaban parte del ecosistema de Windows​ (CrowdStrike)​​ (Wikipedia)​.

Soluciones para el Problema

Para corregir el problema causado por la actualización defectuosa del sensor de CrowdStrike Falcon, se pueden seguir estos pasos:

1. Iniciar en Modo Seguro o Entorno de Recuperación de Windows:
   • Reiniciar el sistema afectado y seleccionar «Modo Seguro» o «Entorno de Recuperación de Windows» para acceder al sistema sin cargar los drivers problemáticos.
2. Eliminar Archivos Problemáticos:
   • Navegar a la carpeta C:\Windows\System32\drivers\CrowdStrike\ y buscar los archivos con el prefijo «C-00000291-» que tengan una extensión .sys. Estos archivos fueron los que causaron los fallos y deben ser eliminados.
3. Verificar y Actualizar Configuración:
   • Una vez eliminados los archivos problemáticos, es importante verificar la configuración del sensor de CrowdStrike y asegurarse de que todas las actualizaciones se hayan implementado correctamente.
4. Restaurar desde una Copia de Seguridad:
   • En casos donde los sistemas no puedan ser recuperados fácilmente, se recomienda restaurar desde una copia de seguridad realizada antes del 18 de julio de 2024.
5. Reiniciar Sistemas:
   • Finalmente, reiniciar los sistemas y verificar que funcionen correctamente sin errores de pantalla azul.
6. Contacto con Soporte Técnico:
   • Para asistencia adicional, se recomienda contactar con el soporte técnico de CrowdStrike para recibir ayuda específica y garantizar que los sistemas estén completamente seguros y operativos​ (CrowdStrike)​​ (Wikipedia)​.

Medidas Preventivas

Para prevenir incidentes similares en el futuro, se recomienda:

1. Pruebas Rigurosas antes del Despliegue:
   • Realizar pruebas exhaustivas de actualizaciones de software en un entorno controlado antes de su implementación general.
2. Implementación Gradual de Actualizaciones:
   • Desplegar actualizaciones de forma gradual para identificar y resolver problemas antes de que afecten a un número mayor de sistemas.
3. Mantenimiento de Copias de Seguridad Actualizadas:
   • Mantener copias de seguridad regulares y actualizadas de todos los sistemas críticos.
4. Monitoreo y Respuesta Activa:
   • Implementar sistemas de monitoreo para detectar rápidamente cualquier comportamiento anómalo.
5. Comunicación Eficaz con Proveedores de Software:
   • Mantener una comunicación abierta con los proveedores de software para recibir alertas tempranas sobre problemas conocidos.
6. Auditorías de Seguridad y Revisión de Configuraciones:

Realizar auditorías de seguridad periódicas y revisar las configuraciones de seguridad de los sistemas​ (CrowdStrike)​​ (Wikipedia)​.