Una actualización defectuosa de CrowdStrike provoca fallos en los sistemas Windows, afectando a empresas en todo el mundo

Para los sistemas que ya han sido afectados por el problema, las instrucciones de mitigación son las siguientes:

• Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.
• Navegar al directorio C:\Windows\System32\drivers\CrowdStrike.
• Buscar el archivo llamado «C-00000291*.sys» y eliminarlo.
• Reiniciar el ordenador o servidor normalmente.

Cabe destacar que la interrupción también ha afectado a Google Cloud Compute Engine, provocando que las máquinas virtuales con Windows que usan el csagent.sys de CrowdStrike se bloqueen y entren en un estado de reinicio inesperado.

«Después de haber recibido automáticamente un parche defectuoso de CrowdStrike, las VM de Windows se bloquean y no pueden reiniciarse», se informó. «Las VM de Windows que están actualmente en funcionamiento ya no deberían verse afectadas.»

El investigador de seguridad Kevin Beaumont dijo: «He obtenido el controlador de CrowdStrike que enviaron mediante actualización automática. No sé cómo sucedió, pero el archivo no es un controlador con formato válido y provoca que Windows se bloquee cada vez.»

«CrowdStrike es el producto EDR de nivel superior y está en todo, desde puntos de venta hasta cajeros automáticos, etc. Esto será, con toda probabilidad, el mayor incidente ‘cibernético’ a nivel mundial en términos de impacto.»

Aerolíneas, instituciones financieras, cadenas de alimentos y minoristas, hospitales, hoteles, organizaciones de noticias, redes ferroviarias y empresas de telecomunicaciones se encuentran entre las muchas empresas afectadas. Las acciones de CrowdStrike han caído un 15% en el comercio previo a la apertura del mercado en Estados Unidos.

«El evento actual parece ser, incluso en julio, uno de los problemas cibernéticos más significativos de 2024», dijo Omer Grossman, Director de Información (CIO) de CyberArk, en un comunicado compartido con The Hacker News. «El daño a los procesos empresariales a nivel global es dramático. El problema se debe a una actualización de software del producto EDR de CrowdStrike.»

«Este es un producto que se ejecuta con altos privilegios y protege los puntos finales. Un mal funcionamiento en esto puede, como estamos viendo en el incidente actual, causar que el sistema operativo se bloquee.»

Se espera que la recuperación tome días, ya que el problema necesita ser solucionado manualmente, punto final por punto final, iniciándolos en Modo Seguro y eliminando el controlador defectuoso, señaló Grossman, agregando que la causa raíz del mal funcionamiento será de «máximo interés.»

Jake Moore, asesor de seguridad global en la empresa de ciberseguridad eslovaca ESET, dijo a The Hacker News que el incidente destaca la necesidad de implementar múltiples «mecanismos de seguridad» y diversificación de la infraestructura de TI.

«Las actualizaciones y el mantenimiento de sistemas y redes pueden incluir errores pequeños no intencionales, que pueden tener consecuencias de gran alcance, como experimentaron hoy los clientes de CrowdStrike», dijo Moore.

«Otro aspecto de este incidente se relaciona con la ‘diversidad’ en el uso de infraestructura de TI a gran escala. Esto se aplica a sistemas críticos como sistemas operativos (OS), productos de ciberseguridad y otras aplicaciones desplegadas a nivel mundial (a gran escala). Donde la diversidad es baja, un solo incidente técnico, sin mencionar un problema de seguridad, puede llevar a interrupciones a escala global con efectos colaterales subsiguientes.»

El desarrollo ocurre mientras Microsoft se recupera de una interrupción separada que causó problemas con aplicaciones y servicios de Microsoft 365, incluidos Defender, Intune, OneNote, OneDrive para Empresas, SharePoint Online, Windows 365, Viva Engage y Purview.

«Un cambio de configuración en una parte de nuestras cargas de trabajo de backend de Azure causó una interrupción entre los recursos de almacenamiento y computación, lo que resultó en fallas de conectividad que afectaron a los servicios de Microsoft 365 dependientes de estas conexiones», dijo el gigante tecnológico.