Entender la interrupción global de TI causada por una actualización de CrowdStrike
La interrupción global de TI que afectó a los usuarios de Microsoft Windows fue causada por un error en una actualización de contenido de protección de un producto de CrowdStrike (Falcon Strike). El impacto generalizado resultante demuestra la urgente importancia de mantener sólidos procesos de garantía de calidad (QA) antes de que los productos o sus actualizaciones se pongan en producción. Esto es cierto para todo el software; sin embargo, con los productos de ciberseguridad que protegen los endpoints y requieren privilegios elevados en los sistemas operativos (OS) como Windows y otros, incluso un error menor en el lanzamiento de una actualización puede dejar fuera de línea a los servidores, en este caso señalado por una “pantalla azul de la muerte” (BSOD) en bucle.
No es la primera vez que el software de seguridad para endpoints bloquea sistemas operativos como Windows. En el pasado, las actualizaciones de firmas o de detección que son legítimas y de importancia crítica, han tenido errores que les han hecho identificar erróneamente un componente crítico en un sistema operativo como malware, y luego intentar bloquear o poner en cuarentena archivos críticos del sistema operativo. Así es como un “error” aparentemente menor en una actualización puede bloquear sistemas y causar un efecto dominó en los equipos de las organizaciones que utilizan ese producto.
El problema de CrowdStrike era más matizado, pero seguía teniendo el mismo impacto. Una de las actualizaciones diarias de las protecciones de comportamiento de su producto tenía un error que ponía el sistema operativo Windows en un BSOD, y ese estado continuaba durante los reinicios hasta que el ordenador se arrancaba en modo de recuperación para seguir la solución de CrowdStrike. Dado que muchas empresas de líneas aéreas internacionales, instituciones financieras y sanitarias utilizan el producto afectado, este error de actualización de la protección dejó fuera de servicio los ordenadores de esas organizaciones.
Los primeros informes de los medios de comunicación afirmaban o insinuaban incorrectamente que el problema de CrowdStrike causó una interrupción de Microsoft Azure, pero se trataba de un incidente independiente y no relacionado que ya se ha resuelto.
Seguiremos vigilando este problema y proporcionaremos actualizaciones según sea necesario. Además, cubrimos este tema en nuestro nuevo episodio The 443 Security Simplified podcast. Aquí tienes un avance.
Implicaciones para los partners de WatchGuard
Para los partners de WatchGuard, no hay impacto a menos que vendan directamente productos CrowdStrike. Los partners que traten con clientes afectados tendrán que ayudarles a recuperar sus sistemas instalando la corrección necesaria de CrowdStrike en modo seguro. Los productos WatchGuard no se ven afectados por estos incidentes.