Detalles técnicos sobre la interrupción del 19 de julio

20 de julio de 2024

|CrowdStrike |Resumen Ejecutivo

¿Qué ha ocurrido?

El 19 de julio de 2024 a las 04:09 UTC, como parte de la operativa rutinaria, CrowdStrike lanzó una actualización de configuración del sensor Falcon para sistemas Windows. Las actualizaciones de configuración de los sensores son una parte de los mecanismos de protección de la plataforma Falcon. Esta actualización de configuración desencadenó un error lógico que provocó el bloqueo del sistema y una pantalla azul (BSOD) en los sistemas afectados.

La actualización de la configuración del sensor que causó la interrupción del sistema se corrigió el viernes 19 de julio de 2024 a las 05:27 UTC. Este problema no ha sido causado ni está relacionado con un ciberataque.

Impacto

Los clientes que tenían sensores Falcon para Windows versión 7.11 y superior en ejecución, que estuvieron en línea entre el viernes 19 de julio de 2024 a las 04:09 UTC y el viernes 19 de julio de 2024 a las 05:27 UTC, pudieron verse afectados. 

Los sistemas que ejecutaban el sensor Falcon para Windows 7.11 y superior que descargaron la configuración actualizada de las 04:09 UTC a las 05:27 UTC eran susceptibles a un bloqueo del sistema.

Archivo de configuración

Los archivos de configuración mencionados anteriormente se denominan  “Channel Files” y forman parte de los mecanismos de protección utilizados por el sensor Falcon. Las actualizaciones de los “channel files” son parte normal del funcionamiento del sensor y se producen varias veces al día en respuesta a nuevas tácticas, técnicas y procedimientos descubiertos por CrowdStrike. Este no es un nuevo procedimiento; el diseño de esta arquitectura se ha mantenido intacto desde el inicio de la plataforma Falcon.

Técnicas

En los sistemas Windows, los channel files residen en el siguiente directorio:

C:\Windows\System32\drivers\CrowdStrike\

y tienen un nombre de archivo que comienza con “C-“. A cada channel file se le asigna un número como identificador único. El archivo afectado en este incidente tiene como identificador único 291 y tendrá un nombre de archivo que comienza con “C-00000291-” y termina con extensión.sys. Aunque los channel files terminan con la extensión SYS, no son drivers de kernel.

El channel file 291 controla cómo Falcon evalúa la ejecución de la named pipe1 en sistemas Windows. Las named pipes se utilizan para la comunicación normal, entre procesos o entre sistemas en Windows.

La actualización que se produjo a las 04:09 UTC fue diseñada para apuntar a las named pipes maliciosas recientemente observadas que utilizan los frameworks C2 comunes en los ciberataques. La actualización de la configuración desencadenó un error lógico que provocó un bloqueo del sistema operativo.

Channel File 291

CrowdStrike ha corregido el error lógico actualizando el contenido en el Channel File 291. No se implementarán cambios adicionales en este Channel File. Falcon continúa evaluando y protegiendo contra el uso malicioso de named pipes.

Esto no está relacionado con los null bytes contenidos en el Channel File 291 o cualquier otro Channel File.

Remediación

Las recomendaciones e información de corrección más actualizadas se pueden encontrar en nuestro blog o en el Portal de soporte

Entendemos que algunos clientes pueden tener necesidades de soporte específicas y les pedimos que se comuniquen con nosotros directamente.

Los sistemas que actualmente no se ven afectados seguirán funcionando de forma habitual. Falcon seguirá proporcionando protección y los sistemas no corren el riesgo de experimentar este evento en el futuro.

Los sistemas que ejecutan Linux o macOS no utilizan el Channel file 291 y no se vieron afectados.

Análisis de Causa Raíz

Entendemos cómo ocurrió este problema y estamos realizando un análisis exhaustivo de la causa raíz para determinar cómo ocurrió este fallo lógico. Nos comprometemos a seguir realizando esfuerzos de forma continua para identificar cualquier mejora fundamental o de flujo de trabajo que podamos realizar para fortalecer nuestro proceso. Actualizaremos nuestros hallazgos en el análisis de causa raíz a medida que avance la investigación.

 

1 https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes