CrowdStrike BSoD, ¿qué ha ocurrido y cómo puedo estar preparado?

CrowdStrike Falcon

CrowdStrike es una empresa líder en seguridad a nivel global, y el fabricante de una de las plataformas de protección contra el malware más vendidas en el mundo.  Su plataforma CrowdStrike Falcon está especialmente diseñada para detener las violaciones de seguridad mediante un conjunto unificado de tecnologías proporcionadas en la nube desde su servicio CrowdStrike Security Cloud. Esta plataforma incluye entre otros módulos un antivirus de última generación (NGAV) que cuenta con tecnología de aprendizaje automático para detectar y prevenir ciberataques. CrowdStrike contiene varios módulos de productos que cubren múltiples aspectos tales como la inteligencia de amenazas, la detección, la protección y remediación automática, etc., pero para mayor conveniencia se despliega en los sistemas Windows mediante un solo agente, conocido como CrowdStrike Falcon Sensor.

El 19 de julio de 2024 a las 04:09 UTC, como parte de la operativa rutinaria, CrowdStrike lanzó una actualización de configuración de CrowdStrike Falcon Sensor para sistemas Windows. Las actualizaciones de configuración de los sensores son una parte de los mecanismos de protección de la plataforma Falcon. Esta actualización de configuración desencadenó un error lógico que provocó el bloqueo del sistema y una pantalla azul (BSoD) en los sistemas Windows afectados. 

Informe preliminar del incidente aquí: Falcon Content Update Preliminary Post Incident Report | CrowdStrike

Aquí encontrarás un análisis detallado: Windows Security best practices for integrating and managing security tools

BSoD

El término “Blue Screen of Death” o BSoD es un término familiar que alude a la pantalla azul que resulta de un fallo catastrófico del sistema operativo Windows. Estos errores pueden ser causados por muy diversos problemas tanto de hardware como de software. La pantalla azul aparece cuando el sistema Windows necesita ayuda para poder recuperarse de un error del cual no ha podido recuperarse por si mismo. Cuando vemos esta pantalla azul, el sistema Windows no se está ejecutando, y por tanto todos los medios habituales de recuperación remota basados en aplicativos sobre Windows resultan inútiles. Aunque Microsoft proporciona instrucciones de cómo un usuario puede recuperar su ordenador a un estado previo a que el fallo se haya producido, habitualmente en un entorno corporativo esto es responsabilidad del departamento de sistemas, que debe acceder físicamente al ordenador para inicializarlo en modo seguro y proceder a diagnosticar el fallo y reparar el sistema Windows. Lógicamente este es un procedimiento que sólo resulta razonable cuando un único ordenador o solo unos pocos ordenadores han fallado simultáneamente.

Recuperación ante desastres

El concepto de recuperación ante desastres (“Disaster Recovery”) hace referencia al proceso de recuperación ante una contingencia masiva (un desastre), y suele incluir protocolos de actuación para poder recuperar funcionalidades y datos de los sistemas afectados en el menor tiempo posible. Las contingencias contempladas en los planes de recuperación suelen incluir elementos naturales tales como incendios o terremotos, accidentales tales como la pérdida de suministro eléctrico, o provocados tales como los ciberataques.

Las consecuencias ante la interrupción de los sistemas críticos de una empresa pueden variar dependiendo de diversos factores, pero siempre incluyen pérdidas económicas derivadas de la inactividad total o parcial de la empresa durante un cierto periodo y/o de la imposibilidad de recuperar datos críticos para el negocio.

En el caso de la situación provocada por el incidente de CrowdStrike, la mayoría de los protocolos de recuperación no supieron gestionar adecuadamente la recuperación de miles de sistemas Windows afectados, porque la ocurrencia simultanea de estos BSoD no es una circunstancia habitual. Dependiendo de la arquitectura informática de cada empresa, el nivel de afectación del negocio puede haber ido desde una inconveniencia hasta un suceso catastrófico.

La herramienta de la que las corporaciones más afectadas carecían es una plataforma de recuperación remota y masiva de ordenadores Windows en estado BSoD, tal y como la solución resQit de GMV. Esta solución suele utilizarse como herramienta para mejorar la eficiencia en las recuperaciones ordinarias de los sistemas Windows que fallan, al habilitar un mecanismo remoto que suele ser importante en los entornos distribuidos y de teletrabajo que abundan hoy en día. Sin embargo, en el caso de un incidente masivo como el ocurrido en el caso de CrowdStrike, esta plataforma puede ahorrar cientos de miles o incluso millones de euros al permitir un escenario de recuperación en un tiempo mínimo que resulta inviable sin una herramienta de esta naturaleza.