CrowdStrike explica el incidente del viernes que provocó el fallo de millones de dispositivos con Windows

El fallo se debió a una actualización de contenido de respuesta rápida que contenía un error no detectado previamente. Cabe destacar que estas actualizaciones se entregan en forma de «Instancias de Plantilla» que corresponden a comportamientos específicos, cada una de las cuales se asigna a un «Tipo de Plantilla» único para habilitar nueva telemetría y detección.

Las Instancias de Plantilla se crean utilizando un Sistema de Configuración de Contenido, después de lo cual se despliegan en el sensor a través de la nube mediante un mecanismo denominado Archivos de Canal, que finalmente se escriben en el disco de la máquina Windows. El sistema también incluye un componente de Validación de Contenido que realiza verificaciones de validación en el contenido antes de publicarlo.

«La Respuesta Rápida de Contenidos proporciona visibilidad y detecciones en el sensor sin requerir cambios en el código del sensor», explicó.

«Esta capacidad es utilizada por ingenieros de detección de amenazas para recopilar telemetría, identificar indicadores de comportamiento adversario y realizar detecciones y prevenciones. La Respuesta Rápida de Contenidos se basa en heurísticas de comportamiento, separadas y distintas de las capacidades de prevención y detección de IA en el sensor de CrowdStrike.»

Estas actualizaciones son analizadas por el Intérprete de Contenidos del sensor Falcon, que permite al Motor de Detección del Sensor detectar o prevenir actividades maliciosas, dependiendo de la configuración de la política del cliente.

Aunque cada nuevo Tipo de Plantilla se somete a pruebas de estrés para diferentes parámetros como la utilización de recursos y el impacto en el rendimiento, CrowdStrike identificó la causa raíz del problema en el despliegue del Tipo de Plantilla de Comunicación Interproceso (IPC) el 28 de febrero de 2024, que se introdujo para detectar ataques que abusan de los conductos con nombre (named pipes).

La cronología de eventos es la siguiente:

• 28 de febrero de 2024: CrowdStrike lanza el sensor 7.11 a los clientes con el nuevo Tipo de Plantilla IPC.
• 5 de marzo de 2024: El Tipo de Plantilla IPC pasa la prueba de estrés y se valida para su uso.
• 5 de marzo de 2024: La Instancia de Plantilla IPC se lanza a producción a través del Archivo de Canal 291.
• 8 – 24 de abril de 2024: Se despliegan tres Instancias de Plantilla IPC más en producción.
• 19 de julio de 2024: Se despliegan dos Instancias de Plantilla IPC adicionales, una de las cuales pasa la validación a pesar de contener datos de contenido problemáticos.

«Basándonos en las pruebas realizadas antes del despliegue inicial del Tipo de Plantilla (el 5 de marzo de 2024), la confianza en las verificaciones realizadas en el Validador de Contenidos y los despliegues exitosos anteriores de Instancias de Plantilla IPC, estas instancias se desplegaron en producción», dijo CrowdStrike.

«Cuando el sensor recibió y cargó el contenido problemático en el Intérprete de Contenidos, el contenido en el Archivo de Canal 291 resultó en una lectura de memoria fuera de los límites, provocando una excepción. Esta excepción inesperada no pudo ser manejada adecuadamente, lo que resultó en un fallo del sistema operativo Windows (BSoD).»

En respuesta a las interrupciones generalizadas causadas por el fallo y para prevenir que ocurran de nuevo, la compañía con sede en Texas dijo que ha mejorado sus procesos de pruebas y ha reforzado su mecanismo de manejo de errores en el Intérprete de Contenidos. También planea implementar una estrategia de despliegue escalonado para el Contenido de Respuesta Rápida.