Actualizado el 13-08-2024 a las 18:40 UTC

Resumen ejecutivo del Análisis de la Causa Raíz del Channel File 291

Este documento proporciona un resumen ejecutivo de los hallazgos del informe de Análisis de la Causa Raíz (RCA por sus siglas en inglés -Root Cause Analysis-) de CrowdStrike. El informe completo profundiza en la información compartida previamente en nuestro Informe Preliminar Posterior al Incidente (PIR), proporcionando más detalles sobre los hallazgos, las medidas de mitigación, cuestiones técnicas y el análisis de la causa raíz del incidente. Este documento es una traducción de la siguiente versión en inglés https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/. Esta versión traducida se proporciona únicamente para facilitar su consulta y para mayor claridad. En caso de conflicto o ambigüedad, la versión en inglés siempre prevalecerá y tendrá prioridad.

Descarga el PDF del Análisis de la Causa Raíz

Introducción

CrowdStrike se fundó con la misión de proteger a los clientes contra los adversarios actuales y detener las brechas de seguridad. El 19 de julio de 2024, como parte de la operativa rutinaria, CrowdStrike lanzó una Actualización de la Configuración del Contenido (mediante Channel Files) para el sensor de Windows que provocó un bloqueo del sistema. Pedimos disculpas sin reservas.

Reconocemos los impresionantes e ininterrumpidos esfuerzos de nuestros clientes y partners que, trabajando junto a nuestros equipos, se movilizaron de inmediato para restaurar los sistemas y volver a poner en línea muchos de ellos en cuestión de horas. El 29 de julio de 2024 a las 20:00 EDT, aproximadamente el 99 % de los sensores de Windows estaban conectados, respecto a los que lo estaban antes de la actualización de contenido. Por lo general, observamos una variación de aproximadamente el 1 % de una semana a otra en las conexiones de los sensores. Para todos los clientes que aún estén afectados, sabed que no descansaremos hasta que se restablezcan todos los sistemas.

Qué ha ocurrido

El sensor de CrowdStrike Falcon proporciona modelos de inteligencia artificial y aprendizaje automático (machine learning) para proteger los sistemas mediante la identificación y corrección de las nuevas amenazas avanzadas. En febrero de 2024, CrowdStrike introdujo una nueva función del sensor con el fin de ofrecer visibilidad de posibles técnicas de ataque novedosas que podrían hacer un mal uso de ciertos mecanismos de Windows. Esta función creó un conjunto de campos predefinidos para que el Contenido para Respuesta Rápida recopilara datos. Como se describe en el RCA, esta nueva función del sensor se desarrolló y probó de acuerdo con nuestros procesos estándar de desarrollo de software.

El 5 de marzo de 2024, tras el éxito de una prueba de estrés, se lanzó a producción el primer Contenido para Respuesta Rápida para el Channel File 291 como parte de una Actualización de la Configuración del Contenido y se implementaron tres actualizaciones más del Contenido para Respuesta Rápida entre el 8 y el 24 de abril de 2024. Estas funcionaron en producción según lo esperado.

El 19 de julio de 2024, se implementó una actualización del Contenido para Respuesta Rápida en algunos hosts con sistema operativo Windows, como continuación del proceso de integración de la nueva función lanzada por primera vez en febrero de 2024. El sensor esperaba 20 campos de entrada, mientras que la actualización proporcionaba 21 campos de entrada. En este caso, la falta de coincidencia provocó una lectura de memoria fuera de límites que desencadenó un bloqueo del sistema (BSOD o pantalla azul). Nuestro análisis, junto con una revisión efectuada por terceros, confirmó que este error no puede ser explotado por atacantes.

Si bien este escenario con el Channel File 291 ahora ya no puede repetirse, informa de las mejoras del proceso y las medidas de mitigación que CrowdStrike está implementando para garantizar una mayor resiliencia.

Qué hemos hecho y qué será lo próximo

Según los hallazgos del RCA, estas son algunas de las medidas que CrowdStrike ha adoptado y adoptará en el futuro:

• Actualizar los procedimientos de prueba del Sistema de Configuración del Contenido. Esta tarea se ha completado. Incluye pruebas mejoradas para el desarrollo de Tipos de Plantillas (Template Types), con pruebas automatizadas para todos los Template Types existentes. Los Template Types forman parte del sensor y contienen campos predefinidos para que los ingenieros de detección de amenazas los puedan utilizar en el Contenido para Respuesta Rápida.
• Añadir más capas de implementación y comprobaciones para aceptación para el Sistema de Configuración del Contenido. Esta tarea se ha completado con un proceso de anillos (grupos) de implementación actualizado, que garantiza que las Instancias de Plantilla (Template Instances) pasen por anillos (grupos) de implementación sucesivos antes de lanzarlas a producción.
• Proporcionar a los clientes más control sobre la implementación de las actualizaciones del Contenido para Respuesta Rápida. Se han implementado y desplegado nuevas funciones en nuestra nube que permiten a los clientes controlar cómo se implementa el Contenido para Respuesta Rápida, y tenemos más funciones previstas para el futuro.
• Prevenir la creación de Channel Files 291 problemáticos. Se ha implementado la validación del número de campos de entrada para evitar que ocurra este problema.
• Implementar controles adicionales en el Validador de Contenido. Está previsto lanzar a producción nuevos controles antes del 19 de agosto de 2024.
• Mejorar la comprobación de límites en el Intérprete de Contenido para el Contenido para Respuesta Rápida en el Channel File 291. La verificación de límites se añadió el 25 de julio de 2024 y se espera que esté disponible de manera generalizada el 9 de agosto de 2024. Estas correcciones se están implementando de manera retroactiva en todas las versiones 7.11 y superiores del sensor de Windows mediante un hotfix (versión de revisión) del software del sensor.
• Contratar a dos proveedores de seguridad de software independientes para que lleven a cabo una revisión adicional del código del sensor Falcon y de los procesos de control de calidad y lanzamiento de principio a fin. Esta tarea ha comenzado y continuará como parte de nuestro compromiso con la seguridad y la resiliencia por diseño.

Para conocer más detalles y las definiciones de los términos, consulta el RCA.