Actualización de CrowdStrike Provoca Caos en Sistemas Windows – Estamos listos para ayudar a su organización
Debido a los incidentes presentados hoy, causados por una actualización de software para los sistemas operativos Microsoft Windows emitida por la empresa de ciberseguridad CrowdStrike, compartimos a continuación un resumen del incidente con recomendaciones que le ayudarán a prevenir y proteger su operación:
Contexto:
-
La reciente actualización del software de seguridad CrowdStrike Falcon bloqueó sistemas Windows, afectando a organizaciones críticas como aeropuertos, estaciones de televisión y hospitales.
-
El fallo se produjo después de que una actualización defectuosa de un programa de ciberseguridad ampliamente utilizado de CrowdStrike, derribara los sistemas de Microsoft.
-
La falla la causó un componente defectuoso de la actualización que provoca un bucle de arranque o la temida pantalla azul de la muerte (BSOD).
-
La falla ha dejado fuera de servicio estaciones de trabajo y servidores, causando interrupciones masivas en empresas y flotas de cientos de miles de computadoras a nivel global. Servicios de emergencia en Estados Unidos y Canadá también han sido afectados.
-
Las acciones de CrowdStrike y Microsoft se desplomaron en el mercado.
-
George Kurtz, presidente de CrowdStrike aclaró que no se debía a un ataque informático.
-
CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows.
Soluciones implementadas por CrowdStrike
-
CrowdStrike identificó la causa en un archivo de actualización que genera el problema y ha revertido los cambios para mitigar el problema.
-
Para aquellos ya afectados, la solución implica eliminar manualmente el archivo defectuoso desde el modo seguro o el entorno de recuperación de Windows.
Activamos nuestros protocolos
Aumentamos capacidades operativas, pasando de DEFCON 5 (estado normal) a DEFCON 3 (posible activismo a nivel nacional), derivando en la ejecución de las siguientes acciones ejecutadas en nuestro SOC:
-
Incremento de la vigilancia y monitoreo: Se han intensificado las actividades de monitoreo para detectar cualquier actividad anómala o maliciosa en los sistemas.
-
Implementación de medidas preventivas adicionales: se han aplicado políticas de seguridad más restrictivas para prevenir posibles brechas de seguridad sobre las diferentes plataformas gestionadas por el SOC.
-
Coordinación con proveedores y equipos internos: se ha establecido una comunicación constante con nuestros proveedores y equipos de seguridad interna para asegurar una respuesta rápida y eficaz ante cualquier incidente.
-
Actualización y refuerzo de las defensas cibernéticas: se están realizando actualizaciones y ajustes en nuestras herramientas de defensa cibernética para optimizar su eficacia contra posibles ataques.
-
Comunicación continua con los clientes: mantendremos informados a nuestros clientes sobre cualquier desarrollo relevante y medidas adicionales que se implementen.
​
Recomendaciones para minimizar riesgos
-
Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.
-
Navegue al directorio C:\Windows\System32\drivers\CrowdStrike en el explorador.
-
Localice el archivo “C-00000291-00000000-00000032.sys”, haga clic derecho y cámbiele el nombre a “C-00000291-00000000-00000032.renamed” (la versión puede ser diferente para su host) o también localizar el archivo “C-00000291*.sys” y borrarlo.
-
Arranca el host normalmente.
Recomendaciones para entornos Azure:
-
Inicie sesión en la consola de Azure --> Vaya a Máquinas Virtuales --> Seleccione la VM.
-
Arriba a la izquierda en la consola --> Haga clic en : "Conectar" --> Haga clic en --> Conectar --> Haga clic en "Más formas de conectar" --> Haga clic en : "Consola serie".
-
Una vez que SAC se haya cargado, escriba 'cmd' y pulse enter. SETEAR comando 'cmd', SETEAR : ch -si 1.
-
Pulsar cualquier tecla (barra espaciadora). Pulse cualquier tecla (barra espaciadora). Introduzca las credenciales de administrador.
-
Escriba lo siguiente:
bcdedit /set {current} safeboot minimal.
bcdedit /set {current} safeboot network. -
Reinicie la máquina virtual. Reinicie la máquina virtual.
Estamos listos para apoyarlo
Nuestro personal está monitoreando permanentemente el desarrollo de este suceso y notificará cualquier actividad que signifique un posible riesgo de ciberseguridad. Así mismo, ponemos a su disposición nuestro conocimiento y experticia para orientarlo en la mejor forma de prevenir y afrontar este o posibles futuros incidentes, dejando la puerta abierta para reunirnos con su organización en el momento que lo considere pertinente.
Quedamos atentos a su disponibilidad para reservar agendas.
Atentamente,
Lourdes Mejía Loyo
TERRITORY MANAGER FOR CENTRAL AMERICA AND THE CARIBBEAN
​lourdes.mejia@digisoc.net
DIGISOC®