top of page

Actualización de CrowdStrike Provoca Caos en Sistemas Windows – Estamos listos para ayudar a su organización

Debido a los incidentes presentados hoy, causados por una actualización de software para los sistemas operativos Microsoft Windows emitida por la empresa de ciberseguridad CrowdStrike, compartimos a continuación un resumen del incidente con recomendaciones que le ayudarán a prevenir y proteger su operación:

  Contexto:
 

  • La reciente actualización del software de seguridad CrowdStrike Falcon bloqueó sistemas Windows, afectando a organizaciones críticas como aeropuertos, estaciones de televisión y hospitales.

  • El fallo se produjo después de que una actualización defectuosa de un programa de ciberseguridad ampliamente utilizado de CrowdStrike, derribara los sistemas de Microsoft.

  • La falla la causó un componente defectuoso de la actualización que provoca un bucle de arranque o la temida pantalla azul de la muerte (BSOD).

  • La falla ha dejado fuera de servicio estaciones de trabajo y servidores, causando interrupciones masivas en empresas y flotas de cientos de miles de computadoras a nivel global. Servicios de emergencia en Estados Unidos y Canadá también han sido afectados.

  • Las acciones de CrowdStrike y Microsoft se desplomaron en el mercado.

  • George Kurtz, presidente de CrowdStrike aclaró que no se debía a un ataque informático.

  • CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows.


  Soluciones implementadas por CrowdStrike

 

  • CrowdStrike identificó la causa en un archivo de actualización que genera el problema y ha revertido los cambios para mitigar el problema.

  • Para aquellos ya afectados, la solución implica eliminar manualmente el archivo defectuoso desde el modo seguro o el entorno de recuperación de Windows.

 

  Activamos nuestros protocolos

 

Aumentamos capacidades operativas, pasando de DEFCON 5 (estado normal) a DEFCON 3 (posible activismo a nivel nacional), derivando en la ejecución de las siguientes acciones ejecutadas en nuestro SOC:

 

  1. Incremento de la vigilancia y monitoreo: Se han intensificado las actividades de monitoreo para detectar cualquier actividad anómala o maliciosa en los sistemas.

  2. Implementación de medidas preventivas adicionales: se han aplicado políticas de seguridad más restrictivas para prevenir posibles brechas de seguridad sobre las diferentes plataformas gestionadas por el SOC.

  3. Coordinación con proveedores y equipos internos: se ha establecido una comunicación constante con nuestros proveedores y equipos de seguridad interna para asegurar una respuesta rápida y eficaz ante cualquier incidente.

  4. Actualización y refuerzo de las defensas cibernéticas: se están realizando actualizaciones y ajustes en nuestras herramientas de defensa cibernética para optimizar su eficacia contra posibles ataques.

  5. Comunicación continua con los clientes: mantendremos informados a nuestros clientes sobre cualquier desarrollo relevante y medidas adicionales que se implementen.

​

  Recomendaciones para minimizar riesgos

 

  • Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.

  • Navegue al directorio C:\Windows\System32\drivers\CrowdStrike en el explorador.

  • Localice el archivo “C-00000291-00000000-00000032.sys”, haga clic derecho y cámbiele el nombre a “C-00000291-00000000-00000032.renamed” (la versión puede ser diferente para su host) o también localizar el archivo “C-00000291*.sys” y borrarlo.

  • Arranca el host normalmente.
     

  Recomendaciones para entornos Azure:

 

  • Inicie sesión en la consola de Azure --> Vaya a Máquinas Virtuales --> Seleccione la VM.

  • Arriba a la izquierda en la consola --> Haga clic en : "Conectar" --> Haga clic en --> Conectar --> Haga clic en "Más formas de conectar" --> Haga clic en : "Consola serie".

  • Una vez que SAC se haya cargado, escriba 'cmd' y pulse enter. SETEAR comando 'cmd', SETEAR : ch -si 1.

  • Pulsar cualquier tecla (barra espaciadora). Pulse cualquier tecla (barra espaciadora). Introduzca las credenciales de administrador.

  • Escriba lo siguiente:
    bcdedit /set {current} safeboot minimal.
    bcdedit /set {current} safeboot network.

  • Reinicie la máquina virtual. Reinicie la máquina virtual.

 

  Estamos listos para apoyarlo
 

Nuestro personal está monitoreando permanentemente el desarrollo de este suceso y notificará cualquier actividad que signifique un posible riesgo de ciberseguridad. Así mismo, ponemos a su disposición nuestro conocimiento y experticia para orientarlo en la mejor forma de prevenir y afrontar este o posibles futuros incidentes, dejando la puerta abierta para reunirnos con su organización en el momento que lo considere pertinente.

 

Quedamos atentos a su disponibilidad para reservar agendas.

 

Atentamente,

 

Lourdes Mejía Loyo 

TERRITORY MANAGER FOR CENTRAL AMERICA AND THE CARIBBEAN
​lourdes.mejia@digisoc.net

 

DIGISOC®

bottom of page