Entendiendo la interrupción global de TI causada por una actualización de CrowdStrike
"La pantalla azul de la muerte"
La interrupción global del sistema informático que afectó a los usuarios de Microsoft Windows se debió a un error en una actualización de contenido de protección de un producto de CrowdStrike (Falcon Strike). El impacto generalizado resultante demuestra la urgente importancia de mantener procesos de control de calidad (QA) sólidos antes de que los productos o sus actualizaciones se lancen a producción. Esto es así para todo el software; Sin embargo, con productos de ciberseguridad que protegen los puntos finales y requieren privilegios elevados en sistemas operativos (OS) como Windows y otros, incluso un error menor en el lanzamiento de una actualización puede dejar fuera de línea a los servidores, en este caso señalado . por una "pantalla azul de la muerte" (BSOD) en bucle.
No es la primera vez que un software de seguridad de endpoints bloquea sistemas operativos como Windows. En el pasado, las actualizaciones de firmas o de detección que son legítimas y de importancia crítica tenían errores que hacían que identificaran erróneamente un componente crítico en un sistema operativo como malware y luego intentarán bloquear o poner en cuarentena archivos críticos del sistema operativo. Así es como un "error" aparentemente menor dentro de una actualización puede bloquear los sistemas y causar un efecto dominó en los sistemas globales de las organizaciones que usan ese producto.
El problema de CrowdStrike era más matizado, pero aún tenía el mismo impacto. Una de las actualizaciones diarias de las protecciones de comportamiento de su producto tenía un error que ponía al sistema operativo Windows en un BSOD, y ese estado continuaba durante los reinicios hasta que la computadora se iniciaba en modo de recuperación para seguir la solución de CrowdStrike. Dado que muchas empresas de aerolíneas globales, instituciones financieras y atención médica utilizan el producto afectado, este error de actualización de protección eliminó las computadoras de esas organizaciones.
Los primeros informes de los medios afirmaron o insinuaron incorrectamente que el problema de CrowdStrike provocó una interrupción de Microsoft Azure, pero ese fue un incidente separado y no relacionado que ya se ha resuelto.
Seguiremos monitoreando este problema y brindaremos actualizaciones según sea necesario. Además, lo abordamos en nuestro nuevo episodio del podcast The 443 Security Simplified .
Aquí hay un avance: https://youtu.be/tqmI3UD55bI
Implicaciones para los socios de WatchGuard
Para los socios de WatchGuard, no hay ningún impacto a menos que vendan directamente productos de CrowdStrike. Los socios que trabajan con clientes afectados deberán ayudar a recuperar sus sistemas instalando la corrección de CrowdStrike necesaria en modo seguro. Los productos de WatchGuard no se ven afectados por estos incidentes.-
*Autor: Corey Nachreiner , Director de Seguridad de WatchGuard