Actualización de CrowdStrike afectó a 8.5 millones de dispositivos: Microsoft

Tras aclarar que el jueves 18 de julio, CrowdStrike, una empresa independiente de ciberseguridad, lanzó una actualización de software que comenzó a afectar a los sistemas de TI a nivel mundial, Microsoft informó que el fallo afectó a 8.5 millones de dispositivos Windows.

“Actualmente, estimamos que la actualización de CrowdStrike afectó a 8.5 millones de dispositivos Windows, o menos del uno por ciento de todas las máquinas Windows. Si bien el porcentaje fue pequeño, los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por parte de empresas que ejecutan muchos servicios críticos”, señaló David Weston, vicepresidente de Seguridad Empresarial y de Sistemas Operativos de Windows.

Señaló que este incidente demuestra la naturaleza interconectada de nuestro amplio ecosistema que incluye proveedores de nube globales, plataformas de software, proveedores de seguridad y otros proveedores de software, y clientes.

“Es un recordatorio de lo importante que es para todos nosotros en el ecosistema tecnológico priorizar la operación con una implementación segura y la recuperación ante desastres utilizando los mecanismos que existen. Como hemos visto en los últimos dos días, aprendemos, nos recuperamos y avanzamos de manera más efectiva cuando colaboramos y trabajamos juntos. Agradecemos la cooperación y colaboración de todo nuestro sector, y continuaremos actualizando con los aprendizajes y los próximos pasos”, añadió Weston..

Aclaró que CrowdStrike ayudó a desarrollar una solución escalable que ayudará a la infraestructura de Azure de Microsoft a acelerar la solución de la actualización defectuosa de CrowdStrike.

No fue ciberataque: CrowdStrike

CrowdStrike informó este sábado que el problema se ha identificado y aislado, y se ha implementado una solución. Además aclaró que no se trata de un ciberataque.

“La interrupción del servicio se debió a un defecto detectado en una actualización de contenido de Falcon para hosts de Windows. Los hosts de Mac y Linux no se vieron afectados”, informó George Kurtz, fundador y director ejecutivo de CrowdStrike.

La empresa aseguró que CrowdStrike está funcionando con normalidad y que este problema no afecta a los sistemas de la plataforma Falcon.

“Si sus sistemas funcionan con normalidad, no habrá ningún impacto en su protección si el sensor Falcon está instalado”, apuntó.

Medidas adoptadas

Las medidas adoptadas por Microsoft fueron las siguientes:

Colaboración con CrowdStrike para automatizar su trabajo de desarrollo de una solución. CrowdStrike recomendó una solución alternativa para abordar este problema y también emitió una declaración pública.

Las instrucciones para solucionar la situación en los puntos finales de Windows se publicaron en el Centro de mensajes de Windows . 

Desplegar cientos de ingenieros y expertos de Microsoft para trabajar directamente con los clientes para restaurar los servicios.

Colaborar con otros proveedores de la nube y partes interesadas, incluidos Google Cloud Platform (GCP) y Amazon Web Services (AWS), para compartir la conciencia sobre el estado del impacto que cada uno de nosotros está viendo en la industria e informar las conversaciones en curso con CrowdStrike y los clientes.

Publicación rápida de documentación y scripts de remediación manual que se encuentran aquí .

Mantener a los clientes informados sobre el estado más reciente del incidente a través del Panel de estado de Azure aquí .

¿Qué pasó?

El 19 de julio de 2024 a las 04:09 UTC, como parte de las operaciones en curso, CrowdStrike lanzó una actualización de la configuración de sensores para los sistemas Windows. Las actualizaciones de la configuración de sensores son una parte continua de los mecanismos de protección de la plataforma Falcon. Esta actualización de configuración desencadenó un error lógico que provocó un bloqueo del sistema y una pantalla azul (BSOD) en los sistemas afectados.

La actualización de la configuración del sensor que provocó el bloqueo del sistema se solucionó el viernes 19 de julio de 2024 a las 05:27 UTC.

Este problema no es resultado ni está relacionado con un ciberataque.