ENTRE DRAGONES Y PINGÜINOS


CrowdStrike bloqueó sistemas Windows a nivel mundial

24 de jul. de 2024 - #Informática

Mañana del viernes 19 de Julio de 2024: los aeropuertos empiezan a experimentar problemas. A las pocas horas los cajeros de los supermercados comienzan a mostrar “pantallazos azules” de Windows y se quedan en bucles infinitos de reinicio, indicando que algo se ha roto en el sistema. Los hospitales británicos se paran. Los sistemas gubernamentales regionales españoles se quedan detenidos. La cadena sigue y el público se pone más y más nervioso pensando que ha sido un ataque informático. ¿Qué tienen en común? La combinación del uso de servicios de Nube sobre Microsoft Windows y la gestión remota de los sistemas de seguridad.

En esta ocasión no se ha tratado de un ataque, sino de la aplicación nocturna de un parche (actualización) de tan solo 44 KB perteneciente al sistema de seguridad EDR (“Endpoint detection and response”, que para simplificar podemos considerar como “un antivirus muy dopado”) llamado CrowdStrike Falcon. Ha sido el error de una “tercera arte de tu tercera parte contratada”, que entra dentro de los que los líderes de gestión de informática indican que “no hay que preocuparse, eso son detalles”. Pues como dicen los ingleses “the devil is in the details” (“el diablo está en los detalles”), porque más allá del tiempo sin servicio, nos ha dejado las siguientes consecuencias:

¿Por qué ha fallado exactamente?

Nadie tiene muy claro aún por qué, pero uno de los ficheros a los que se llama desde el arranque tiene contenido nulo. Algo como esto, lo que resulta extrañísimo:

1
2
3
4
5
00000000 00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000 00000000

Hay que señalar que la solución de borrar este tipo de ficheros en equipos que utilizan la funcionalidad de Windows Bitlocker (un programa que codifica el contenido de los ficheros, para añadir una barrera extra en caso de que te robe físicamente el disco duro) no es una tarea trivial, especialmente si su placa incluye el módulo TPM (Trusted Platform Module o “Módulo de Plataforma de Confianza”, cuyas siglas en castellano dan pie a una traducción desafortunada) requerido para Windows 11. La recuperación ha sido lenta y dolorosa para muchos técnicos.

¿Qué aprendemos de esto?

, , , ,