El incidente ocurrido el 19 de julio, debido a una actualización de CrowdStrike que comenzó a afectar los sistemas de TI a nivel mundial, provocó errores de pantalla azul (BSOD), generando dudas y temores. Este problema ha afectado a empresas en diversos sectores, incluyendo aerolíneas y aeropuertos, servicios bancarios, hospitales y medios de comunicación.
Microsoft, a través de cuentas oficiales de sus ejecutivos como Satya Nadella, señaló: “Estamos al tanto de este problema y estamos trabajando estrechamente con CrowdStrike para proporcionar a los clientes orientación técnica y apoyo para restaurar sus sistemas de manera segura”.
Según CrowdStrike, el problema ha sido identificado, aislado y se ha implementado una solución. George Kurtz, Fundador y CEO de CrowdStrike, explicó en una carta: “La interrupción fue causada por un defecto encontrado en una actualización de contenido de Falcon para hosts de Windows. Los hosts de Mac y Linux no se ven afectados. Esto no fue un ciberataque”.
Además, Kurtz señaló: “CrowdStrike está operando con normalidad y este problema no afecta los sistemas de nuestra plataforma Falcon. No hay impacto en la protección si el sensor Falcon está instalado. Los servicios Falcon Complete y Falcon OverWatch no se ven afectados”.
CrowdStrike, una empresa de ciberseguridad conocida por sus soluciones de protección de endpoints.
La comunidad de mujeres Ciberwarmi Ecuador emitió algunas recomendaciones al respecto:
1. Actualizaciones: Visitar únicamente el sitio oficial de soporte de CrowdStrike.
2. Ruta de recuperación: Seguir el documento oficial de CrowdStrike.
3. Comunicación: Mantener contacto constante con los representantes de CrowdStrike y obtener información solo a través de canales oficiales para evitar información falsa.
Solución para usuarios afectados
Pasos para recuperar sistemas individuales:
1. Iniciar Windows en Modo Seguro.
2. Buscar la carpeta de CrowdStrike.
3. Eliminar el archivo «C-00000291*.sys».
4. Reiniciar el computador.
Para usuarios corporativos, se recomienda la intervención manual por parte de los administradores.
Solución en entornos de nube pública o virtual:
Opción 1:
1. Separar el volumen del disco del sistema operativo del servidor virtual
afectado.
2. Crear una instantánea o copia de seguridad del volumen.
3. Montar el volumen en un nuevo servidor virtual.
4. Eliminar el archivo «C-00000291*.sys».
5. Volver a conectar el volumen al servidor virtual afectado.
Opción 2: Volver a una instantánea anterior a las 04:09 UTC del 19 de julio de 2024.
Revisar el estatus de los servicios de la nube de Microsoft en su portal de estado.
Indicadores de Compromiso (IoCs)
crowdstrikebluescreen[.]com
crowdstrike0day[.]com
crowdstrike-bsod[.]com
crowdstrikedoomsday[.]com
crowdstrikefix[.]com
crowdstrikedown[.]site
crowdstriketoken[.]com
fix-crowdstrike-apocalypse[.]com
aftercrash[.]it
crashstrike[.]com
cyberstrike[.]online
cyberstrike[.]one
conflictstrike[.]com
failstrike[.]com
bsodfriday[.]com
crowdstrikeoutage[.]info
bsod1907[.]com
- Medidas de seguridad recomendadas
Estrategia de Seguridad Integral:
Educación de empleados. Controles de acceso robustos.
Planificación de contingencias y respuesta a incidentes.
Infraestructura distribuida y monitoreo efectivo. - Protocolo de Recuperación:
Priorizar herramientas críticas.
Sistemas de alerta internos Guías de soporte detalladas. - Estrategia Antisuplantación:
Comunicación inmediata con clientes y socios.
Publicación de dominios verificados de soporte. Supervisión y eliminación de sitios web fraudulentos
Medidas Operacionales en Hospitales:
- Simulacros periódicos de inactividad.
- Aislamiento de dispositivos médicos vitales de Internet.
Fuentes y Colaboradoras
Cronup: Incidente masivo de CrowdStrike causa errores generalizados de pantalla azul en Windows
CrowdStrike Blog: Statement on Falcon Content Update for Windows Hosts
Polaris Insights
Colaboradoras CiberWarmi Ecuador:
Jéssica Morales Bonilla
Marilyn Cortez Cabrera
Johanna León
Karina Matute Pinos
Mirtha Zambrano Rodríguez
Nataly González