.png)
1. El fallo se produjo después de que una actualización defectuosa de un programa de ciberseguridad ampliamente utilizado de CrowdStrike, derribara los sistemas de Microsoft.
2. Para aquellos ya afectados, la solución implica eliminar manualmente el archivo defectuoso desde el modo seguro o el entorno de recuperación de Windows.
En un evento sin precedentes, una reciente actualización del software de seguridad CrowdStrike Falcon desencadenó un caos global al bloquear sistemas Windows, afectando a organizaciones críticas en todo el mundo como aeropuertos, estaciones de televisión y hospitales. La interrupción, que comenzó en la madrugada del viernes, 19 de julio de 2024, dejó a muchas organizaciones sin acceso a las herramientas críticas de detección y respuesta a amenazas, donde numerosos dispositivos con el sistema operativo Windows, de Microsoft, comenzaron a presentar errores, mostrando la pantalla azul (BSOD).
Esta interrupción afectó múltiples sectores, incluyendo bancos, aeropuertos, estaciones de televisión y hoteles, derivando en reportes de problemas en Australia, seguida de informes similares desde Reino Unido, India, Alemania, Países Bajos y Estados Unidos.
El apagón, que comenzó a las 8:00 AM GMT, afectó a la plataforma Falcon de CrowdStrike, impidiendo que las organizaciones usuarias recibieran alertas de amenazas en tiempo real y respuestas automáticas a incidentes. La interrupción de los servicios duró aproximadamente seis horas, durante las cuales muchas empresas quedaron expuestas a posibles ataques cibernéticos sin la protección adecuada.
Respuesta de CrowdStrike
CrowdStrike, a través de George Kurtz, su consejero delegado, aseguró este viernes (19.07.2024) que sus ingenieros resolvieron el problema que ha causado el fallo global en los sistemas de Microsoft, indicando igualmente, que puede tomar tiempo para algunos clientes volver a operar.
Repercusiones globales
La interrupción ha generado preocupación en la comunidad empresarial y de ciberseguridad, ya que muchas organizaciones se encontraron expuestas durante el período de inactividad. "Este tipo de apagones subraya la importancia de contar con estrategias de respaldo robustas", comentó un analista de seguridad. "Cuando se depende tanto de un solo proveedor, cualquier interrupción puede tener consecuencias significativas". Por ejemplo, casi 1.400 vuelos han sido cancelados y muchos otros retrasados.
De hecho, las acciones de Crowdstrike cayeron un 14% en las primeras horas del apagón. Las acciones de Microsoft también bajaron, al igual que las de empresas del sector del turismo y viajes, que hasta ahora han sido los más afectados.
¿Quién es CrowdStrike?
CrowdStrike es una empresa de ciberseguridad fundada en 2011, que proporciona soluciones de basadas en la nube. Se especializa en la detección y respuesta a amenazas cibernéticas, la inteligencia sobre amenazas y la protección de puntos finales. Su plataforma principal, Falcon, utiliza inteligencia artificial y aprendizaje automático para detectar y prevenir amenazas en tiempo real. Su sede está en Austin, Texas, emplea a casi 8.500 personas y cotiza en la bolsa de valores de Nasdaq desde 2019.
CrowdStrike Falcon supuso la primera solución de seguridad inteligente, nativa de la nube y multiinquilino, capaz de proteger cargas de trabajo en entornos locales, virtualizados y basados en la nube que se ejecutan en una variedad de puntos finales, como portátiles, de sobremesa, servidores, virtuales, máquinas y dispositivos de internet de las cosas.
Recomendaciones:
Para minimizar los riesgos, se recomienda:
Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.
Navegue al directorio C:\Windows\System32\drivers\CrowdStrike en el explorador.
Localice el archivo “C-00000291-00000000-00000032.sys”, haga clic derecho y cámbiele el nombre a “C-00000291-00000000-00000032.renamed” (la versión puede ser diferente para su host) o también localizar el archivo “C-00000291*.sys” y borrarlo.
Arranca el host normalmente.
Para entornos azure:
Inicie sesión en la consola de Azure --> Vaya a Máquinas Virtuales --> Seleccione la VM.
Arriba a la izquierda en la consola --> Haga clic en : "Conectar" --> Haga clic en --> Conectar --> Haga clic en "Más formas de conectar" --> Haga clic en : "Consola serie".
Una vez que SAC se haya cargado, escriba 'cmd' y pulse enter. SETEAR comando 'cmd', SETEAR : ch -si 1.
Pulsar cualquier tecla (barra espaciadora). Pulse cualquier tecla (barra espaciadora). Introduzca las credenciales de administrador.
Escriba lo siguiente:bcdedit /set {current} safeboot minimal.bcdedit /set {current} safeboot network.
Reinicie la máquina virtual. Reinicie la máquina virtual.
Domain
crowdstrikebluescreen[.]com
crowdstrike0day[.]com
crowdstrike-bsod[.]com
crowdstrikedoomsday[.]com
crowdstrikefix[.]com
crowdstrikedown[.]site
crowdstriketoken[.]com
Fuentes:
Comments