Actualizado el 12-08-2024 1623 UTC
Resumen ejecutivo de RCA de Channel File 291
Este documento ofrece un resumen ejecutivo de los hallazgos del informe de Análisis de causa raíz (RCA, por sus siglas en inglés) de CrowdStrike. El informe completo detalla la información que se compartió previamente en nuestra Revisión preliminar posterior al incidente (PIR, por sus siglas en inglés) y proporciona más detalles sobre los hallazgos, las mitigaciones, los detalles técnicos y los análisis de la causa raíz del incidente. Este documento es una traducción de la siguiente versión en inglés https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/. Esta versión traducida se proporciona únicamente para facilitar su comprensión y por motivos de conveniencia. En caso de conflicto o ambigüedad, la versión en inglés siempre prevalecerá y tendrá prioridad.
Descargue el PDF del Análisis de la causa raíz
Introducción
CrowdStrike se fundó con la misión de proteger a los clientes contra los adversarios de hoy y detener los ataques. El 19 de julio de 2024, como parte de las operaciones de rutina, CrowdStrike lanzó una actualización de configuración de contenido (a través de los archivos de canal -channel files-) para el sensor de Windows que provocó un bloqueo del sistema. Nos disculpamos sin reservas.
Reconocemos los increíbles esfuerzos continuos de nuestros clientes y aliados comerciales que, trabajando junto a nuestros equipos, se movilizaron de inmediato para restaurar los sistemas y volver a poner a muchos en línea en cuestión de horas. Al 29 de julio de 2024, a las 8:00 pm., EDT, ~99 % de los sensores de Windows estaban en línea, en comparación con antes de la actualización de contenido. Por lo general, vemos una variación de ~1 % semana a semana en las conexiones de los sensores. A los clientes que aún se vean afectados, sepan que no descansaremos hasta que se restablezcan todos los sistemas.
¿Qué ocurrió?
El sensor CrowdStrike Falcon implementa IA y machine learning para proteger sistemas al identificar y corregir las últimas amenazas avanzadas. En febrero de 2024, CrowdStrike introdujo una nueva capacidad de sensor para brindar visibilidad sobre posibles técnicas de ataque nuevas que podrían abusar de algunos mecanismos de Windows. Esta capacidad predefinió un conjunto de campos para que el Contenido de respuesta rápida -Rapid response content- recopilara datos. Como se describe en el RCA, esta nueva capacidad del sensor se desarrolló y probó de acuerdo con nuestros procesos estándar de desarrollo de software.
El 5 de marzo de 2024, después de una prueba de estrés exitosa, el primer Contenido de respuesta rápida -Rapide response content- para Channel File 291 se lanzó a producción como parte de una actualización de configuración de contenido con tres actualizaciones adicionales de Respuesta rápida desplegadas entre el 8 y el 24 de abril de 2024. Actuaron como se esperaba en la producción.
El 19 de julio de 2024, se entregó una actualización de Contenido de respuesta rápida -Rapid response content- a ciertos hosts de Windows, lo que hizo que evolucionara la nueva capacidad lanzada por primera vez en febrero de 2024. El sensor esperaba 20 campos de entrada, mientras que la actualización proporcionó 21. En este caso, la falta de coincidencia generó una lectura de memoria fuera de los límites, lo que provocó un bloqueo del sistema. Nuestro análisis, junto con una revisión de terceros, confirmó que este error no es explotable por un actor de ciberamenazas.
Si bien este escenario con Channel File 291 ahora no puede repetirse, informa las mejoras del proceso y los pasos de mitigación que CrowdStrike está implementando para garantizar una mayor resiliencia.
¿Qué medidas tomamos y cuáles son los próximos pasos?
Según los hallazgos del RCA, estas son algunas de las medidas que CrowdStrike ha implementado y llevará a cabo en el futuro:
- Actualizar los procedimientos de prueba del sistema de configuración de contenido. Este trabajo se completó. Incluye pruebas actualizadas para el desarrollo de Template Types con pruebas automatizadas para todos los Template Types existentes. Estos forman parte del sensor y contienen campos predefinidos para que los ingenieros de detección de amenazas los aprovechen en el contenido de respuesta rápida -rapid response content-.
- Agregar capas de implementación adicionales y revisiones de aceptación para el sistema de configuración de contenido. Este trabajo se completó con un proceso de anillo de implementación (-deployment ring process-) actualizado, lo que garantiza que las instancias de plantilla -Template instances- pasen anillos (rings) de implementación sucesivos antes del lanzamiento a producción.
- Proporcionar a los clientes un control adicional sobre la implementación de las actualizaciones de contenido de respuesta rápida -rapid response content-. Se han implementado y desplegado nuevas capacidades en nuestra nube que permiten a los clientes controlar cómo se implanta el contenido de respuesta rápida -rapid response content- con funcionalidades adicionales planificadas para el futuro.
- Evitar la creación de archivos Channel 291 problemáticos. La validación del número de campos de entrada se ha implementado para evitar que este problema ocurra.
- Implementar controles adicionales en el validador de contenido (Content Validator). Está previsto que las revisiones adicionales entren en producción el 19 de agosto de 2024.
- Mejorar la revisión de límites en el intérprete de contenido para el contenido de respuesta rápida -Rapid response content- en Channel File 291. La verificación de límites se agregó el 25 de julio de 2024 y se espera su disponibilidad general el 9 de agosto de 2024. Estas correcciones se están respaldando en todas las versiones 7.11 y superiores del sensor de Windows a través de un lanzamiento de revisión del software del sensor.
- Contratar a dos proveedores de seguridad de software independientes para que realicen una revisión adicional del código del sensor Falcon y de los procesos de lanzamiento y control de calidad de extremo a extremo. Este trabajo comenzó y continuará como parte de nuestro enfoque en la seguridad y la resiliencia por diseño.
Para obtener más información y los términos definidos, consulta el RCA.