Debido a los incidentes presentados hoy, causados por una actualización de software para los sistemas operativos Microsoft Windows emitida por la empresa de ciberseguridad CrowdStrike, compartimos a continuación un resumen del incidente con recomendaciones que le ayudarán a prevenir y proteger su operación:

  Contexto:
 

• La reciente actualización del software de seguridad CrowdStrike Falcon bloqueó sistemas Windows, afectando a organizaciones críticas como aeropuertos, estaciones de televisión y hospitales.

• El fallo se produjo después de que una actualización defectuosa de un programa de ciberseguridad ampliamente utilizado de CrowdStrike, derribara los sistemas de Microsoft.

• La falla la causó un componente defectuoso de la actualización que provoca un bucle de arranque o la temida pantalla azul de la muerte (BSOD).

• La falla ha dejado fuera de servicio estaciones de trabajo y servidores, causando interrupciones masivas en empresas y flotas de cientos de miles de computadoras a nivel global. Servicios de emergencia en Estados Unidos y Canadá también han sido afectados.

• Las acciones de CrowdStrike y Microsoft se desplomaron en el mercado.

• George Kurtz, presidente de CrowdStrike aclaró que no se debía a un ataque informático.

• CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows.

  Soluciones implementadas por CrowdStrike

 

• CrowdStrike identificó la causa en un archivo de actualización que genera el problema y ha revertido los cambios para mitigar el problema.

• Para aquellos ya afectados, la solución implica eliminar manualmente el archivo defectuoso desde el modo seguro o el entorno de recuperación de Windows.

 

  Activamos nuestros protocolos

 

Aumentamos capacidades operativas, pasando de DEFCON 5 (estado normal) a DEFCON 3 (posible activismo a nivel nacional), derivando en la ejecución de las siguientes acciones ejecutadas en nuestro SOC:

 

1. Incremento de la vigilancia y monitoreo: Se han intensificado las actividades de monitoreo para detectar cualquier actividad anómala o maliciosa en los sistemas.

2. Implementación de medidas preventivas adicionales: se han aplicado políticas de seguridad más restrictivas para prevenir posibles brechas de seguridad sobre las diferentes plataformas gestionadas por el SOC.

3. Coordinación con proveedores y equipos internos: se ha establecido una comunicación constante con nuestros proveedores y equipos de seguridad interna para asegurar una respuesta rápida y eficaz ante cualquier incidente.

4. Actualización y refuerzo de las defensas cibernéticas: se están realizando actualizaciones y ajustes en nuestras herramientas de defensa cibernética para optimizar su eficacia contra posibles ataques.

5. Comunicación continua con los clientes: mantendremos informados a nuestros clientes sobre cualquier desarrollo relevante y medidas adicionales que se implementen.

​

  Recomendaciones para minimizar riesgos

 

• Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.

• Navegue al directorio C:\Windows\System32\drivers\CrowdStrike en el explorador.

• Localice el archivo “C-00000291-00000000-00000032.sys”, haga clic derecho y cámbiele el nombre a “C-00000291-00000000-00000032.renamed” (la versión puede ser diferente para su host) o también localizar el archivo “C-00000291*.sys” y borrarlo.

• Arranca el host normalmente.
   

  Recomendaciones para entornos Azure:

 

• Inicie sesión en la consola de Azure --> Vaya a Máquinas Virtuales --> Seleccione la VM.

• Arriba a la izquierda en la consola --> Haga clic en : "Conectar" --> Haga clic en --> Conectar --> Haga clic en "Más formas de conectar" --> Haga clic en : "Consola serie".

• Una vez que SAC se haya cargado, escriba 'cmd' y pulse enter. SETEAR comando 'cmd', SETEAR : ch -si 1.

• Pulsar cualquier tecla (barra espaciadora). Pulse cualquier tecla (barra espaciadora). Introduzca las credenciales de administrador.

• Escriba lo siguiente:
  bcdedit /set {current} safeboot minimal.
  bcdedit /set {current} safeboot network.

• Reinicie la máquina virtual. Reinicie la máquina virtual.

 

  Estamos listos para apoyarlo
 

Nuestro personal está monitoreando permanentemente el desarrollo de este suceso y notificará cualquier actividad que signifique un posible riesgo de ciberseguridad. Así mismo, ponemos a su disposición nuestro conocimiento y experticia para orientarlo en la mejor forma de prevenir y afrontar este o posibles futuros incidentes, dejando la puerta abierta para reunirnos con su organización en el momento que lo considere pertinente.

 

Quedamos atentos a su disponibilidad para reservar agendas.

 

Atentamente,

 

Rocío Ponce Carmen 

COUNTRY MANAGER
​rocio.ponce@digisoc.net

 

DIGISOC®