Un alto ejecutivo de CrowdStrike se disculpó ante un comité del gobierno de los Estados Unidos por la interrupción del 19 de julio que provocó que los sistemas de TI en todo el mundo fallaran y mostraran la temida pantalla azul de la muerte después de que la compañía publicara una actualización defectuosa.
El incidente, que tuvo lugar temprano en la mañana en el Reino Unido, comenzó cuando CrowdStrike emitió una actualización de su plataforma de detección de amenazas Falcon, pero debido a un error en su herramienta de validación de contenido automatizada, se autorizó la implementación de la plantilla que contenía datos de contenido “problemáticos”. .
Esto, a su vez, provocó una condición de memoria agotada que provocó que las computadoras con Windows que recibían la actualización entraran en un bucle de arranque. Esto significa que los dispositivos afectados se reiniciaron sin previo aviso durante el proceso de inicio, dejándolos incapaces de finalizar un ciclo de inicio completo.
El caos resultante paralizó 8,5 millones de computadoras durante un breve período de tiempo y afectó a organizaciones de todo el mundo, con impactos especialmente sentidos en los sectores del transporte y la aviación.
En sus comentarios de apertura ante el Comité de Seguridad Nacional de la Cámara de Representantes en Washington DC, Adam Meyers, vicepresidente senior de operaciones contra adversarios de CrowdStrike, dijo que la organización decepcionó a sus clientes cuando impulsó la actualización defectuosa.
“En nombre de todos en CrowdStrike, quiero disculparme. Lamentamos profundamente que esto haya sucedido y estamos decididos a evitar que vuelva a suceder”, dijo Meyers.
“Apreciamos los increíbles esfuerzos las 24 horas del día de nuestros clientes y socios que, trabajando junto con nuestros equipos, se movilizaron de inmediato para restaurar los sistemas y poner muchos de nuevo en línea en cuestión de horas. Puedo asegurarles que seguimos abordando esto con un gran sentido de urgencia”.
Continuó: “En términos más generales, quiero subrayar que este no fue un ciberataque de actores de amenazas extranjeros. El incidente fue causado por una actualización de contenido de respuesta rápida de CrowdStrike. Hemos tomado medidas para ayudar a garantizar que este problema no vuelva a ocurrir y nos complace informar que, a partir del 29 de julio, aproximadamente el 99 % de los sensores de Windows volvieron a estar en línea.
“Desde que esto sucedió, nos hemos esforzado por ser transparentes y comprometidos a aprender de lo sucedido”, dijo Meyers. “Hemos llevado a cabo una revisión completa de nuestros sistemas y comenzado a implementar planes para reforzar nuestros procedimientos de actualización de contenido para que salgamos de esta experiencia como una empresa más fuerte. Puedo asegurarles que tomaremos las lecciones aprendidas de este incidente y las usaremos para informar nuestro trabajo a medida que mejoramos para el futuro”.
Andrew Garbarino, miembro y presidente del Subcomité de Seguridad Cibernética y Protección de Infraestructura, dijo: “La magnitud de este error fue alarmante. Si una actualización de rutina pudiera causar este nivel de perturbación, imagínense lo que podría hacer un actor estatal hábil y decidido.
“No podemos perder de vista cómo este incidente influye en el entorno de amenazas más amplio”, dijo. “Sin lugar a dudas, nuestros adversarios han evaluado nuestra respuesta, recuperación y verdadero nivel de resiliencia.
“Sin embargo, nuestros enemigos no son sólo estados nacionales con capacidades cibernéticas avanzadas: incluyen una variedad de actores cibernéticos maliciosos que a menudo prosperan en la incertidumbre y la confusión que surgen.[s] durante cortes de TI a gran escala”, dijo Garbarino.
“CISA [the US Cybersecurity and Infrastructure Security Agency] emitió una declaración pública señalando que había observado que actores de amenazas se aprovechaban de este incidente para realizar phishing y otras actividades maliciosas. Está claro que esta interrupción creó un entorno ventajoso propicio para la explotación por parte de actores cibernéticos maliciosos”.
Interrupciones causadas
El presidente del comité, Mark Green, destacó la interrupción de los vuelos, los servicios de emergencia y los procedimientos médicos, no sólo en Estados Unidos sino en todo el mundo. “Una interrupción global de TI que afecta a todos los sectores de la economía es una catástrofe que esperaríamos ver en una película”, dijo. “Es algo que esperaríamos que fuera ejecutado cuidadosamente por actores estatales-nación sofisticados y maliciosos.
“Para colmo de males, la mayor interrupción de TI de la historia se debió a un error”, dijo Green. “En este caso, el validador de contenido de CrowdStrike utilizado para su sensor Falcon no detectó ningún error en un archivo de canal. También parece que es posible que la actualización no se haya probado adecuadamente antes de enviarla a la parte más sensible del sistema operativo de una computadora. Los errores ocurren, pero no podemos permitir que un error de esta magnitud vuelva a ocurrir”.
Durante su testimonio, Meyers también expuso detalles de la naturaleza precisa del problema y describió las medidas que CrowdStrike ha tomado para garantizar que no vuelva a suceder, aunque reveló poca información que no se haya hecho pública.
Se enfrentó a cerca de una hora y media de preguntas de políticos estadounidenses, incluido un interrogatorio sobre el apoyo que CrowdStrike brindó a los operadores de infraestructura nacional crítica (CNI) afectados por la interrupción, y su propia observación de la explotación del tiempo de inactividad por parte de los ciberdelincuentes. .
Acceso al núcleo
Es importante destacar que Meyers defendió la necesidad de que CrowdStrike tuviera acceso al kernel de Microsoft, una parte central del sistema operativo Microsoft Windows, que administra diversos recursos y procesos en el sistema y, a menudo, aloja aplicaciones críticas de seguridad cibernética, incluida la detección y respuesta de endpoints Falcon. sensor.
A raíz del incidente, algunos han afirmado que para Microsoft permitir dicho acceso es peligroso y que una mejor práctica sería implementar dichas actualizaciones directamente para los usuarios.
“CrowdStrike es uno de los muchos proveedores que utilizan la arquitectura del kernel de Windows, que es una arquitectura de kernel abierta, una decisión que tomó Microsoft para permitir que el sistema operativo admita una amplia gama de diferentes tipos de hardware y diferentes sistemas. ” dijo Meyers.
“El núcleo es responsable de las áreas clave en las que se puede garantizar el rendimiento, en las que se puede tener visibilidad de todo lo que sucede en ese sistema operativo, en las que se pueden aplicar medidas de cumplimiento (en otras palabras, prevención de amenazas) y garantizar la lucha contra la manipulación, que es una preocupación clave desde una perspectiva de seguridad cibernética”, dijo. “La lucha contra la manipulación es muy preocupante porque cuando un actor de amenazas obtiene acceso a un sistema, buscará desactivar las herramientas de seguridad y, para identificar lo que está sucediendo, se requiere visibilidad del kernel.
“El controlador del kernel es un componente clave de cada producto de seguridad que se me ocurre”, añadió Meyers. “El hecho de que hagan la mayor parte de su trabajo en el kernel o no varía de un proveedor a otro, pero intentar proteger el sistema operativo sin acceso al kernel sería muy difícil”.