CrowdStrike analiza por qué no se probó adecuadamente la mala actualización de Microsoft Windows que afecta a millones
El miércoles, CrowdStrike reveló información de su revisión preliminar posterior al incidente, arrojando luz sobre por qué una actualización reciente de Microsoft Windows que causó una interrupción generalizada no se detectó durante las pruebas internas. Este incidente, que afectó a millones de personas en todo el mundo, ha puesto de relieve fallas críticas en el proceso de validación de actualizaciones.
CrowdStrike, una empresa líder en ciberseguridad, proporciona dos tipos distintos de actualizaciones de configuración de contenido de seguridad para su agente Falcon: contenido de sensores y contenido de respuesta rápida. Las actualizaciones del contenido de los sensores ofrecen capacidades integrales para la respuesta del adversario y la detección de amenazas a largo plazo. Estas actualizaciones no se obtienen dinámicamente de la nube y se someten a pruebas exhaustivas, lo que permite a los clientes controlar la implementación en sus flotas.
Por el contrario, el contenido de respuesta rápida consta de archivos binarios propietarios que contienen datos de configuración para mejorar la visibilidad y detección del dispositivo sin modificar el código. Este contenido es validado por un componente diseñado para garantizar la integridad antes de la distribución. Sin embargo, la actualización publicada el 19 de julio, destinada a abordar nuevas técnicas de ataque que explotan canalizaciones con nombre, reveló una falla crítica.
El validador, en el que se confía desde marzo, contenía un error que permitía que la actualización defectuosa pasara la validación. Debido a la ausencia de pruebas adicionales, se implementó la actualización, lo que provocó que aproximadamente 8,5 millones de dispositivos Windows experimentaran un bucle de pantalla azul de la muerte (BSOD) . Este bloqueo se debió a una lectura de memoria fuera de los límites que provocó una excepción no controlada. Aunque el componente de interpretación de contenidos de CrowdStrike está diseñado para gestionar este tipo de excepciones, este problema en particular no se abordó adecuadamente.
En respuesta a este incidente, CrowdStrike se compromete a mejorar los protocolos de prueba para el contenido de respuesta rápida. Las mejoras planificadas incluyen pruebas de desarrolladores locales, pruebas integrales de actualización y reversión, pruebas de estrés, fuzzing, pruebas de estabilidad y pruebas de interfaz. El validador de contenido recibirá controles adicionales y se fortalecerán los procesos de manejo de errores. Además, se implementará una estrategia de implementación escalonada para contenido de respuesta rápida, brindando a los clientes un mayor control sobre estas actualizaciones.
El lunes, CrowdStrike anunció un plan de reparación acelerado para los sistemas afectados por la actualización defectuosa, y ya se han logrado avances significativos en la restauración de los dispositivos afectados. El incidente, considerado una de las fallas de TI más graves de la historia, provocó importantes perturbaciones en varios sectores, incluidos la aviación, las finanzas, la atención sanitaria y la educación.
Posteriormente, los líderes de la Cámara de Representantes de Estados Unidos están instando al director ejecutivo de CrowdStrike, George Kurtz, a testificar ante el Congreso sobre la participación de la compañía en el extenso apagón. Mientras tanto, las organizaciones y los usuarios han sido alertados sobre un aumento de intentos de phishing, estafas e intentos de malware que aprovechan este incidente.
Este evento subraya la necesidad crítica de contar con procesos sólidos de prueba y validación en ciberseguridad para evitar interrupciones tan generalizadas en el futuro.