🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
La reciente interrupción de millones de máquinas Windows provocada por una actualización defectuosa de CrowdStrike ha generado una importante revisión por parte de la compañía. Su análisis señala un error en el software de pruebas como la causa de la incapacidad para validar correctamente la actualización que se distribuyó a millones de dispositivos.
CrowdStrike ha prometido mejorar sus procesos de prueba de actualizaciones de contenido, optimizar el manejo de errores e implementar un despliegue escalonado para evitar que se repita una catástrofe similar.
El software Falcon de Crowdstrike ayuda a las empresas a protegerse contra el malware y brechas de seguridad recibió el viernes una actualización de configuración de contenido que tenía como objetivo «recopilar telemetría sobre posibles nuevas técnicas de amenazas». Sin embargo, esta actualización provocó que las máquinas con Windows se bloquearan.
Por lo general, CrowdStrike emite actualizaciones de configuración de dos maneras. Una es el Sensor Content, que actualiza directamente el sensor Falcon que opera a nivel de núcleo en Windows, y la otra es el Rapid Response Content, que ajusta el comportamiento del sensor para detectar malware. El problema del viernes fue causado por un archivo de Rapid Response Content de apenas 40 KB.
CrowdStrike maneja un sistema de validación en la nube para verificar el contenido antes de su lanzamiento, evitando incidentes como el del viernes. La semana pasada, la compañía lanzó dos actualizaciones de Rapid Response Content, denominadas también como Plantillas de Instancias.
Según CrowdStrike, «debido a un error en el Validador de Contenido, una de las instancias pasó la validación a pesar de contener datos problemáticos».
Aunque CrowdStrike realiza pruebas automáticas y manuales en el Sensor Content y los Tipos de Plantillas, no parece haber llevado a cabo pruebas tan exhaustivas en el Rapid Response Content entregado el viernes. Esto hizo que el sensor cargara el contenido problemático en su Intérprete de Contenido, desencadenando una excepción de memoria fuera de límites. «Esta excepción inesperada no pudo manejarse adecuadamente, resultando en un bloqueo del sistema operativo Windows (BSOD)», explicó CrowdStrike.
Medidas correctivas
Para prevenir futuros incidentes, CrowdStrike se compromete a mejorar el proceso de prueba del Rapid Response Content mediante pruebas locales de desarrolladores, pruebas de actualización y reversión de contenido, junto con pruebas de estrés, fuzzing e inyección de fallos. Además, la compañía realizará pruebas de estabilidad e interfaz de contenido sobre el Rapid Response Content.
CrowdStrike también está actualizando su Validador de Contenido basado en la nube para mejorar la revisión de las actualizaciones de Rapid Response Content. «Se está implementando una nueva verificación para proteger contra este tipo de contenido problemático en el futuro», menciona la compañía.
En cuanto al controlador, CrowdStrike «mejorará el manejo de errores existente en el Intérprete de Contenido», parte del sensor Falcon. También implementará un despliegue escalonado de Rapid Response Content, asegurando que las actualizaciones se distribuyan gradualmente a una porción más amplia de su base instalada en lugar de un envío inmediato a todos los sistemas. Tanto las mejoras en el controlador como los despliegues escalonados han sido recomendados por expertos en seguridad en los últimos días.