CrowdStrike, una empresa estadounidense de ciberseguridad fundada en 2011, que provee servicios a Microsoft y se especializa en la protección de endpoints, identidad y datos mediante su plataforma basada en la nube (CrowdStrike Falcon). Provocó un incidente a nivel global el 19 de julio de 2024, una actualización defectuosa del software de seguridad llevó a interrupciones masivas en sistemas Windows a nivel mundial. Cientos de miles de computadoras quedaron desconectadas, afectando gravemente la operatividad de servicios esenciales en infraestructuras críticas como aeropuertos internacionales, hospitales, servicios de emergencia, estaciones de televisión, etc.

CrowdStrike lanzó una actualización de configuración del sensor para sistemas Windows como parte de sus operaciones regulares, crucial para los mecanismos de protección de la plataforma Falcon. Sin embargo, esto causó un error lógico, provocando bloqueos del sistema y pantallas azules (BSOD) en los sistemas afectados, debido a un defecto en una actualización de contenido para hosts de Windows.

Los clientes que utilizaban el sensor Falcon para Windows en versiones 7.11 y superiores, conectados entre las 04:09 UTC y las 05:27 UTC del viernes 19 de julio, y que descargaron la configuración actualizada, experimentaron bloqueos del sistema y reinicios continuos.

Este estado de «Bootloop» dificulta aplicar pasos de mitigación de manera remota, obligando a realizar procedimientos manuales en los equipos afectados, lo que conlleva una mayor demora en la recuperación total.

Los archivos de configuración mencionados, conocidos como ‘Channel Files’, son fundamentales para los mecanismos de protección del comportamiento que emplea el sensor Falcon. En sistemas Windows, estos archivos (cada uno con un número único como identificador) se encuentran en el directorio “C:\Windows\System32\drivers\CrowdStrike\” y tienen nombres que comienzan con «C-«. El archivo afectado en este evento es el «C-00000291[.]sys”, el cual controla cómo Falcon evalúa las canalizaciones usadas para la comunicación entre procesos.

Impacto Global:

  • Estados Unidos y Canadá: Interrupciones en servicios de emergencia 911.
  • Europa: Problemas en aeropuertos de Schiphol, Melbourne, Zúrich, Berlín, Barcelona, Brisbane, Edimburgo, Ámsterdam y Londres.
  • Medios de Comunicación: Interrupciones en Sky News y ABC.
  • Hospitales: Afectación en hospitales de Países Bajos y España, como el Hospital Universitario de Terrassa y el Instituto Catalán de Oncología.
  • Empresas Internacionales: Afectaciones masivas en Malasia, Japón, Australia, Nueva Zelanda y China.

Sugerencias (opciones de mitigación):

  • Reversión a una instantánea previa:
    • Revertir a una instantánea antes de la marca de tiempo 04:09 UTC puede solucionar el problema.
  • Procedimiento para entornos virtuales:
    • Desconectar el volumen de disco del sistema operativo del servidor virtual afectado.
    • Crear una instantánea o una copia de seguridad del volumen de disco.
    • Adjuntar/montar el volumen en un nuevo servidor virtual.
    • Dirigirse al directorio “%WINDIR%\System32\drivers\CrowdStrike”, localizar el archivo «C-00000291[.]sys» y eliminarlo.
    • Desconectar el volumen del nuevo servidor virtual.
    • Volver a conectar el volumen al servidor virtual afectado.
  • Procedimiento alternativo:
    • Arrancar Windows en modo seguro o en el entorno de recuperación.
    • Ir al directorio “C:\Windows\System32\drivers\CrowdStrike”.
    • Localizar el archivo «C-00000291[.]sys» y eliminarlo.
    • Iniciar el host con normalidad.

Fuente:

Technical Details: Falcon Update for Windows Hosts | CrowdStrike

CrowdStrike update crashes Windows systems, causes outages worldwide