¿Qué ha ocurrido?
El 19 de julio de 2024, a las 04:09 UTC, durante una operativa rutinaria, CrowdStrike lanzó una actualización de configuración del sensor Falcon para sistemas Windows. Estas actualizaciones son esenciales para los mecanismos de protección de la plataforma Falcon. Sin embargo, esta actualización específica desencadenó un error lógico que provocó el bloqueo del sistema y una pantalla azul (BSOD) en los sistemas afectados.
La configuración del sensor que causó la interrupción fue corregida el mismo día, a las 05:27 UTC. Es crucial destacar que este problema no fue causado ni está relacionado con un ciberataque.
Impacto
Los clientes con sensores Falcon para Windows versión 7.11 y superior, que estuvieron en línea entre las 04:09 UTC y las 05:27 UTC del 19 de julio de 2024, pudieron verse afectados. Los sistemas que ejecutaban la versión mencionada del sensor y que descargaron la configuración actualizada durante ese período eran susceptibles a un bloqueo del sistema.
Archivo de Configuración
Los archivos de configuración, conocidos como “Channel Files”, forman parte integral de los mecanismos de protección del sensor Falcon. Las actualizaciones de estos archivos son rutinarias y ocurren varias veces al día en respuesta a nuevas tácticas, técnicas y procedimientos descubiertos por CrowdStrike. Esta arquitectura ha permanecido inalterada desde el inicio de la plataforma Falcon.
Técnicas
En los sistemas Windows, los channel files se encuentran en el siguiente directorio:
Los nombres de estos archivos comienzan con “C-” y cada uno tiene un número identificador único. El archivo afectado en este incidente tiene el identificador 291, con un nombre de archivo que comienza con “C-00000291-” y termina con la extensión .sys. A pesar de la extensión, estos archivos no son drivers de kernel.
El channel file 291 controla cómo Falcon evalúa la ejecución de las named pipes en sistemas Windows. Las named pipes se utilizan para la comunicación entre procesos o entre sistemas en Windows. La actualización realizada a las 04:09 UTC estaba diseñada para apuntar a las named pipes maliciosas recientemente observadas que utilizan los frameworks C2 comunes en ciberataques. No obstante, esta actualización desencadenó un error lógico que provocó el bloqueo del sistema operativo.
Channel File 291
CrowdStrike ha corregido el error lógico actualizando el contenido del Channel File 291 y no se implementarán cambios adicionales en este archivo. Falcon continuará evaluando y protegiendo contra el uso malicioso de named pipes. Este problema no está relacionado con los null bytes contenidos en el Channel File 291 o cualquier otro Channel File.
Remediación
Las recomendaciones e información de corrección más actualizadas se pueden encontrar en nuestro blog o en el Portal de soporte. Entendemos que algunos clientes pueden tener necesidades de soporte específicas y les pedimos que se comuniquen con nosotros directamente.
Los sistemas que actualmente no se ven afectados seguirán funcionando de forma habitual. Falcon seguirá proporcionando protección y los sistemas no corren el riesgo de experimentar este evento en el futuro. Los sistemas que ejecutan Linux o macOS no utilizan el Channel File 291 y no se vieron afectados.
Análisis de Causa Raíz
Estamos realizando un análisis exhaustivo de la causa raíz para determinar cómo ocurrió este fallo lógico. Nos comprometemos a seguir realizando esfuerzos continuos para identificar cualquier mejora fundamental o de flujo de trabajo que podamos implementar para fortalecer nuestro proceso. Actualizaremos nuestros hallazgos en el análisis de causa raíz a medida que avance la investigación.
Conclusión
Este incidente subraya la importancia de la vigilancia continua y la capacidad de respuesta rápida ante problemas técnicos en la infraestructura de ciberseguridad. CrowdStrike se compromete a aprender de este evento y a mejorar sus procesos para evitar futuros incidentes similares, garantizando la seguridad y protección continuas de sus clientes.