CrowdStrike confirma que un error no detectado en la actualización del sensor de Falcon provocó la caída de Windows
La actualización defectuosa de CrowdStrike que afectó a equipos Windows en todo el mundo el pasado viernes se debió a un error no detectado, como ha compartido la firma de seguridad en los resultados preliminares de su investigación.
Un fallo en la actualización de Falcon inhabilitó el viernes los equipos con el sistema de Microsoft en empresas de todos los sectores de todo el mundo, en los que se mostró la denominada 'pantalla azul de la muerte'.
En un primer momento, el CEO de CrowdStrike confirmó que la causa estaba en un error registrado en una actualización de su plataforma y que no se trata de "un incidente de seguridad ni un ciberataque".
Ahora, la firma ha compartido los resultados preliminares de su revisión posterior al incidente, que indican que la caída de sistemas Windows "involucró una actualización de contenido de respuesta rápida con un error no detectado".
La actualización de contenido de respuesta rápida está diseñada para responder rápidamente al cambiante panorama de amenazas y se entrega como una actualización de configuración de contenido -que es parte de la plataforma Falcon en la nube-, que crea instancias de plantilla. Estas dotan al sensor de nuevas capacidades para que sea capaz de detectar y analizar un comportamiento en tiempo real.
Estas instancias se implementan a través de los llamados archivos de canal, que se escriben en el disco del 'host'. Entonces, el intérprete de contenido -componente del sensor- lee el archivo y lo interpreta para que el sensor pueda actuar ante la actividad maliciosa, según la configuración de la política del cliente, que en este caso es Microsoft.
CrowdStrike asegura que "los tipos de plantillas recién publicados se someten a pruebas de estrés en muchos aspectos, como la utilización de recursos, el impacto en el rendimiento del sistema y el volumen de eventos".
En su cronograma, el 19 de julio se implementaron dos instancias de plantilla adicionales a la instancia de plantilla lanzada el 5 de marzo tras superar las pruebas de estrés. Sin embargo, el viernes "debido a un error en el validador de contenido, una de las dos instancias de plantilla pasó la validación a pesar de contener datos de contenido problemáticos", como explica la firma de seguridad.
"Cuando el sensor lo recibió y lo cargó en el intérprete de contenido, el contenido problemático en el archivo de canal 291 provocó una lectura de memoria fuera de los límites que activó una excepción. Esta excepción inesperada no se pudo manejar correctamente, lo que provocó un bloqueo del sistema operativo Windows", concluyen en los resultados preliminares.