La pantalla azul y la crisis del 19 de julio

Share

El incidente ocurrido el 19 de julio, debido a una actualización de CrowdStrike que comenzó a afectar los sistemas de TI a nivel mundial, provocó errores de pantalla azul (BSOD), generando dudas y temores. Este problema ha afectado a empresas en diversos sectores, incluyendo aerolíneas y aeropuertos, servicios bancarios, hospitales y medios de comunicación.

Microsoft, a través de cuentas oficiales de sus ejecutivos como Satya Nadella, señaló: “Estamos al tanto de este problema y estamos trabajando estrechamente con CrowdStrike para proporcionar a los clientes orientación técnica y apoyo para restaurar sus sistemas de manera segura”.

Según CrowdStrike, el problema ha sido identificado, aislado y se ha implementado una solución. George Kurtz, Fundador y CEO de CrowdStrike, explicó en una carta: “La interrupción fue causada por un defecto encontrado en una actualización de contenido de Falcon para hosts de Windows. Los hosts de Mac y Linux no se ven afectados. Esto no fue un ciberataque”.

Además, Kurtz señaló: “CrowdStrike está operando con normalidad y este problema no afecta los sistemas de nuestra plataforma Falcon. No hay impacto en la protección si el sensor Falcon está instalado. Los servicios Falcon Complete y Falcon OverWatch no se ven afectados”.

CrowdStrike, una empresa de ciberseguridad conocida por sus soluciones  de protección de endpoints.

La comunidad de mujeres Ciberwarmi Ecuador emitió algunas recomendaciones al respecto:

1. Actualizaciones: Visitar únicamente el sitio oficial de soporte de CrowdStrike.
2. Ruta de recuperación: Seguir el documento oficial de CrowdStrike.
3. Comunicación: Mantener contacto constante con los representantes de CrowdStrike y obtener información solo a través de canales oficiales para evitar información falsa.

Solución para usuarios afectados
Pasos para recuperar sistemas individuales:
1. Iniciar Windows en Modo Seguro.
2. Buscar la carpeta de CrowdStrike.
3. Eliminar el archivo «C-00000291*.sys».
4. Reiniciar el computador.
Para usuarios corporativos, se recomienda la intervención manual por parte de los administradores.
Solución en entornos de nube pública o virtual:
 Opción 1:
1. Separar el volumen del disco del sistema operativo del servidor virtual
afectado.
2. Crear una instantánea o copia de seguridad del volumen.
3. Montar el volumen en un nuevo servidor virtual.
4. Eliminar el archivo «C-00000291*.sys».
5. Volver a conectar el volumen al servidor virtual afectado.

Opción 2: Volver a una instantánea anterior a las 04:09 UTC del 19 de julio de 2024.
Revisar el estatus de los servicios de la nube de Microsoft en su portal de estado.

Indicadores de Compromiso (IoCs)
 crowdstrikebluescreen[.]com
 crowdstrike0day[.]com
 crowdstrike-bsod[.]com
 crowdstrikedoomsday[.]com
 crowdstrikefix[.]com
 crowdstrikedown[.]site
 crowdstriketoken[.]com
 fix-crowdstrike-apocalypse[.]com

aftercrash[.]it
 crashstrike[.]com
 cyberstrike[.]online
 cyberstrike[.]one
 conflictstrike[.]com
 failstrike[.]com
 bsodfriday[.]com
 crowdstrikeoutage[.]info
 bsod1907[.]com

  • Medidas de seguridad recomendadas
    Estrategia de Seguridad Integral:
    Educación de empleados.                                                                                                                                          Controles de acceso robustos.
    Planificación de contingencias y respuesta a incidentes.
    Infraestructura distribuida y monitoreo efectivo.
  • Protocolo de Recuperación:
    Priorizar herramientas críticas.
    Sistemas de alerta internos                                                                                                                                        Guías de soporte detalladas.
  • Estrategia Antisuplantación:
    Comunicación inmediata con clientes y socios.
    Publicación de dominios verificados de soporte.                                                                                              Supervisión y eliminación de sitios web fraudulentos

Medidas Operacionales en Hospitales:

  • Simulacros periódicos de inactividad.
  • Aislamiento de dispositivos médicos vitales de Internet.

Fuentes y Colaboradoras
 Cronup: Incidente masivo de CrowdStrike causa errores generalizados de pantalla azul en Windows
 CrowdStrike Blog: Statement on Falcon Content Update for Windows Hosts
 Polaris Insights
Colaboradoras CiberWarmi Ecuador:
 Jéssica Morales Bonilla
 Marilyn Cortez Cabrera
 Johanna León
 Karina Matute Pinos
 Mirtha Zambrano Rodríguez
 Nataly González