CrowdStrike culpó a un error en su propio software de prueba por el apagón IT que causó la semana pasada.
Una actualización del miércoles a su guía de remediación agregó una revisión preliminar posterior al incidente (PIR, por sus siglas en inglés) que ofrece la visión del fabricante de antivirus sobre cómo afectó 8.5 millones de equipos con Windows.
Al dar a conocer la PIR, el CEO de la compañía, George Kurtz, informó que más del 97 % de los sensores de Windows volvieron a estar en línea el 25 de julio.
“Este progreso se debe a los esfuerzos incansables de nuestros clientes, socios y la dedicación de nuestro equipo en CrowdStrike. Sin embargo, entendemos que nuestro trabajo aún no ha terminado y seguimos comprometidos con la restauración de todos los sistemas afectados”, publicó en su cuenta de LinkedIn.
Kurtz agregó que sus esfuerzos de recuperación se han visto reforzados gracias al desarrollo de técnicas de recuperación automática y a la movilización de todos sus recursos para apoyar a los clientes.
CrowdStrike, comentó, “se compromete a seguir desarrollando nuestra misión de detener las infracciones, con un enfoque renovado en los controles y la resiliencia del cliente”.
CrowdStrike explica la causa del apagón IT
El reporte explica de inicio que Falcon Sensor de CrowdStrike se entrega con Sensor Content, que dirige y define las capacidades de su motor de detección de amenazas.
Este software basado en el comportamiento también se actualiza con “contenido de respuesta rápida” que utiliza el Sensor Content para detectar y manejar malware emergente específico y otra actividad no deseada del sistema. Este contenido de respuesta rápida se envía a los usuarios en esos archivos de canal de los que ha estado escuchando.
El Sensor Content base incluye lo que se llama “tipos de plantilla”, que son bloques de código que se pueden personalizar y usar mediante contenido de respuesta rápida para identificar elementos maliciosos en un sistema. Como tal, estas actualizaciones de respuesta rápida se conocen como “instancias de plantilla” porque son “instancias de un tipo de plantilla determinado”.
Por lo tanto, el contenido del sensor define un conjunto de plantillas de código y el contenido de respuesta rápida personaliza la acción de esas plantillas para que el software del sensor pueda detectar, observar y prevenir una actividad específica del sistema.
Como dice CrowdStrike, las instancias de plantilla configuran cómo funcionan los tipos de plantilla durante el tiempo de ejecución.
En febrero de 2024, CrowdStrike presentó y distribuyó un nuevo “tipo de plantilla de comunicación entre procesos (IPC)” para que el contenido de respuesta rápida lo use, que el proveedor diseñó para detectar “nuevas técnicas de ataque que abusan de las canalizaciones con nombre”.
El tipo de plantilla de IPC pasó las pruebas el 5 de marzo y se lanzó una instancia de plantilla de respuesta rápida para usarlo.
Se implementaron tres instancias de plantilla de IPC más entre el 8 y el 24 de abril. Todas se ejecutaron sin fallar en 8,5 millones de máquinas Windows, aunque, como informamos a principios de esta semana, algunas máquinas Linux tuvieron problemas con Falcon de CrowdStrike alrededor de mayo y junio.
El pasado19 de julio, CrowdStrike presentó dos instancias de plantilla de IPC más. Uno incluía “datos de contenido problemáticos”, pero se puso en producción de todos modos, debido a lo que CrowdStrike describió como “un error en el validador de contenido”.
La publicación no detalla el rol del validador de contenido; asumiremos que se supone que debe hacer lo que sugiere el nombre y probablemente de manera automática.
