ANTES QUE NADA RECUERDEN NIÑOS QUE NO FUE WINDOWS EL DEL ERROR... OK......
Qué pasó?
El 19 de julio de 2024 a las 04:09 UTC, como parte de las operaciones en curso, CrowdStrike lanzó una actualización de configuración de sensores a los sistemas Windows. Las actualizaciones de configuración de sensores son una parte continua de los mecanismos de protección de la plataforma Falcon. Esta actualización de configuración desencadenó un error lógico que resultó en un fallo del sistema y una pantalla azul (BSOD) en sistemas impactados.
La actualización de configuración del sensor que causó el accidente del sistema fue remediada el viernes 19 de julio 2024 05:27 UTC.
Esta cuestión no es el resultado o relacionado con un ciberataque.
Impacto
Los clientes que ejecutan el sensor Falcon para la versión 7.11 y superior de Windows, que estuvieron en línea entre el viernes 19 de julio, 2024 04:09 UTC y el viernes 19 de julio 19, 2024 05:27 UTC, pueden ser impactados.
Sistemas que ejecutan el sensor Falcon para Windows 7.11 y superior que descargaron la configuración actualizada de 04:09 UTC a 05:27 UTC eran susceptibles a una falla del sistema.
Archivo de configuración Primer
Los archivos de configuración mencionados anteriormente se refieren a los archivos de forman parte de los mecanismos de protección conductual utilizados por el sensor Falcon. Las actualizaciones de los archivos del canal son una parte normal de la operación de sensores y ocurren varias veces al día en respuesta a tácticas, técnicas y procedimientos novedosos descubiertos por CrowdStrike. Este no es un proceso nuevo; la arquitectura ha estado en su lugar desde la creación de Falcons.
Detalles técnicos
En los sistemas Windows, los archivos de canal residen en el siguiente directorio:
C:\Windows\System32\drivers\CrowdStrike\
y tener un nombre de archivo que comience conC--
. A cada archivo de canal se le asigna un número como un identificador
único. El archivo de canal impactado en este evento es 291 y tendrá un
nombre de archivo que comienza conC-00000291-- y termina con un.sysextensión. Aunque los archivos de canal terminan con la extensión SYS,no son conductores de kernel.
Canal File 291 controla cómo Falcon evalúa la ejecución llamada de en los sistemas Windows. Las tuberías nombradas se utilizan para la comunicación normal, interproceso o intersistema en Windows.
La actualización que ocurrió a las 04:09 UTC fue diseñada para apuntar a tubos recién observados y maliciosos que utilizan los marcos C2 comunes en ciberataques. La actualización de configuración desencadenó un error lógico que resultó en un fallo del sistema operativo.
Archivo de canal 291
CrowdStrike ha corregido el error lógico actualizando el contenido en el archivo de canal 291.
No se desplegarán cambios adicionales en el archivo de canal 291 más allá de la lógica actualizada. Falcon todavía está evaluando y protegiendo contra el abuso de las tuberías nombradas.
Esto no está relacionado con los bytes nulos contenidos en el archivo de canal 291 o cualquier otro archivo de canal.
Remediación
Las recomendaciones e información de remediación más actualizadas se pueden encontrar en nuestro blog o en el Portal de .
Entendemos que algunos clientes pueden tener necesidades específicas de soporte y les pedimos que se pongan en contacto con nosotros directamente.
Los sistemas que actualmente no se impactan seguirán operando como se esperaba, seguirán proporcionando protección y no tendrán ningún riesgo de experimentar este evento en el futuro.
Los sistemas que ejecutan Linux o macOS no utilizan el archivo de canal 291 y no se afectaron.
Análisis de la causa de la raíz
Entendemos cómo ocurrió este tema y estamos haciendo un análisis de causa raíz exhaustiva para determinar cómo ocurrió este fallo lógico. Este esfuerzo será continuo. Estamos comprometidos a identificar cualquier mejora de los fundamentos o flujos de trabajo que podamos hacer para fortalecer nuestro proceso. Actualizaremos nuestros hallazgos en el análisis de causa raíz a medida que avance la investigación.
No hay comentarios:
Publicar un comentario