europa pressMadrid, España
La actualización defectuosa de CrowdStriKe que
afectó a equipos Windows en todo el mundo el pasado viernes se
debió a un error no detectado, como ha compartido la firma de seguridad en los
resultados preliminares de su investigación.
Un fallo en
la actualización de Falcon inhabilitó
el viernes los equipos con el sistema de Microsoft en
empresas de todos los sectores de todo el mundo, en los que se mostró la
denominada 'pantalla azul de la muerte'.
En un primer momento, el CEO de CrowdStrike confirmó que la
causa estaba en un error registrado en una actualización
de su plataforma y que no se trata de "un incidente de seguridad
ni un ciberataque".
Ahora, la
firma ha compartido los resultados preliminares de su revisión posterior al
incidente, que indican que la caída de sistemas Windows "involucró una
actualización de contenido de respuesta rápida con un error no detectado".
La actualización de contenido de respuesta rápida está
diseñada para responder rápidamente al cambiante panorama de amenazas y se
entrega como una actualización de configuración de contenido -que es parte de
la plataforma Falcon en la nube-, que crea instancias de plantilla. Estas dotan
al sensor de nuevas capacidades para que sea capaz de detectar y analizar un
comportamiento en tiempo real.
Estas instancias se implementan a través de los llamados
archivos de canal, que se escriben en el disco del 'host'.
Entonces, el intérprete de contenido -componente del sensor- lee el archivo y
lo interpreta para que el sensor pueda actuar ante la actividad maliciosa,
según la configuración de la política del cliente, que en este caso es
Microsoft.
CrowdStrike
asegura que "los tipos de plantillas recién publicados se someten a
pruebas de estrés en muchos aspectos, como la utilización de recursos, el
impacto en el rendimiento del sistema y el volumen de eventos".
En su cronograma, el 19 de julio se implementaron dos
instancias de plantilla adicionales a la instancia de plantilla lanzada el 5 de
marzo tras superar las pruebas de estrés.
Sin embargo, el viernes "debido a un error en el
validador de contenido, una de las dos instancias de plantilla pasó la
validación a pesar de contener datos de contenido problemáticos", como
explica la firma de seguridad.
"Cuando
el sensor lo recibió y lo cargó en el intérprete de contenido, el contenido
problemático en el archivo de canal 291 provocó una lectura de memoria fuera de
los límites que activó una excepción. Esta excepción inesperada no se pudo
manejar correctamente, lo que provocó un bloqueo del sistema operativo Windows", concluyen en los resultados preliminares.
