CNN
—
La compañía que causó una falla informática masiva en todo el mundo dice que una actualización defectuosa ha sido revertida, pero eso no necesariamente ayuda a las miles de empresas que se han visto afectadas por la falla.
El CrowdStrike Problema de software En el corazón del apagón se ejecuta a un nivel tan profundo en las computadoras y sistemas afectados que ponerlos en marcha y hacerlos funcionar simplemente para ser fijado será, en muchos casos, un enorme desafío.
Esto se ve agravado por el hecho de que muchos de los servidores que pueden contener información necesaria para que estos sistemas vuelvan a funcionar están atrapados en un ciclo de caídas y reinicios.
“No creo que sea demasiado pronto para decirlo: esta será la mayor interrupción de TI de la historia”, dijo el experto en seguridad Troy Hunt. en una publicación en X.
El software CrowdStrike El problema se produce en el llamado nivel del núcleo de un ordenador, un nivel mucho más profundo que el de las aplicaciones más comunes, como los navegadores o los videojuegos. Esta parte de un dispositivo tiene mucha más visibilidad y control sobre un ordenador y sus componentes, lo que la hace fundamental para el funcionamiento de todos los demás sistemas y mucho más sensible.
Ejecutarse a nivel de kernel significa que el software de CrowdStrike puede hacer más para detectar ciberataques, pero también significa que el error actual está provocando que las computadoras con Windows se bloqueen. Pantalla azul de muerte antes de que los usuarios puedan realizar cualquier acción para corregirlo.
El problema parece ser recuperable. CrowdStrike ha dichopero en muchos casos requiere un trabajo minucioso: un administrador debe acceder a cada dispositivo afectado y reiniciarlo manualmente en modo seguro. Luego, el archivo CrowdStrike ofensivo debe eliminarse manualmente.
Para las empresas con cientos o miles de computadoras portátiles, de escritorio y servidores que ejecutan el software de seguridad de CrowdStrike, es posible que un solo ser humano tenga que realizar ese proceso una y otra vez.
“No se puede automatizar eso”, dijo Kevin Beaumont, investigador de seguridad y ex analista de amenazas de Microsoft, en una publicación en X“Esto va a ser increíblemente doloroso para los clientes de CrowdStrike”.
El viernes, una página de estado de Microsoft Se informó que algunos usuarios de máquinas virtuales de Windows se han recuperado exitosamente del problema reiniciando repetidamente, en algunas situaciones hasta 15 veces seguidas.
“Hemos recibido comentarios de clientes que indican que pueden ser necesarios varios reinicios (se han informado hasta 15), pero la opinión general es que los reinicios son un paso eficaz para solucionar problemas en esta etapa”, afirmó Microsoft en la página. La empresa no especuló sobre por qué la técnica parece funcionar.
Las organizaciones afectadas también pueden intentar restaurar sus máquinas a un estado anterior volviendo a una copia de seguridad del sistema anterior, añadió Microsoft, aunque reconoció que eso puede no ser posible en todos los casos.
Se pone peor.
Las organizaciones que toman la seguridad en serio probablemente habrán cifrado los discos duros de sus computadoras, lo que hace aún más difícil acceder al archivo que necesita eliminarse.
Para esas organizaciones, “es necesario descifrar manualmente el disco con una clave de recuperación de BitLocker, que probablemente, para la mayoría de las empresas, esté almacenada digitalmente en uno de los servidores que se está reiniciando una y otra vez”, dijo Ira Bailey, investigador de seguridad. en una publicación en BlueSky.
Cada computadora afectada que esté cifrada con BitLocker deberá desbloquearse con una clave de recuperación antes de que las organizaciones puedan comenzar el proceso de eliminación del archivo dañado de CrowdStrike y restaurar el funcionamiento normal, dijo el experto en ciberseguridad que utiliza el seudónimo SwiftOnSecurity. una publicación en X.
La recuperación será enormemente costosa para las compañías Fortune 500 con grandes equipos de personal de TI y probablemente aún más desafiante para las empresas más pequeñas, dijo a CNN Kenn White, un investigador de seguridad independiente que se especializa en seguridad de redes.
“Si no se cuenta con personal físico que pueda realmente tocar el tema, a gran parte de las empresas estadounidenses les llevará muchos, muchos días recuperarse de esto”, dijo White. “Es simplemente un montón de trabajo manual que requiere mucha mano de obra”.
“Es un procedimiento bastante complicado para personas sin conocimientos técnicos”, agregó White, “e incluso a muchos profesionales de TI capacitados les resultará difícil hacerlo a la escala que se requerirá dada la cantidad de máquinas afectadas”.
Debido a que el software de seguridad de CrowdStrike se ejecuta en innumerables computadoras individuales en todo el mundo, la actualización que se envió a esos dispositivos provocó que todos se apagaran, prácticamente simultáneamente.
En la economía interconectada actual, una interrupción en una parte de la cadena de suministro puede provocar un efecto dominó que se propaga a lo largo de toda la cadena. Cuando varias partes de una cadena de suministro dejan de funcionar, se desencadena una cascada de problemas.
Imaginemos a una persona que intenta comprar un café, afirma Andrew Peck, experto en ciberseguridad de la Universidad de Loughborough (Reino Unido). Lo que parece una transacción sencilla depende de que varios ordenadores trabajen en sintonía, desde el punto de venta de la cafetería hasta los propios sistemas de procesamiento de pagos.
“Hay muchas computadoras en esta cadena y, por lo general, cuanto más grande es la empresa, más grande es la cadena”, dijo Peck. “Si alguna de las computadoras falla en la cadena, la transacción no se completará”.
Ahora, si ampliamos eso a algo como la enorme industria de la aviación, el crítico sector de servicios financieros o las operaciones de vida o muerte de un proveedor de atención médica, el alcance del desastre se vuelve absolutamente claro.
Un problema separado ocurrido el jueves tuvo un impacto significativo en muchos de los clientes de la nube de Microsoft, pero se resolvió durante la noche y no estaba relacionado con el problema de CrowdStrike, dijeron varios expertos en ciberseguridad.
Es posible que el error de CrowdStrike se haya confundido inicialmente con el problema de Microsoft porque el error de CrowdStrike afectó únicamente a las máquinas Windows.
“Ambos están relacionados con Microsoft, pero Microsoft no tuvo nada que ver con el segundo incidente”, dijo White a CNN.
Esto parece estar respaldado por la propia cuenta de estado de Microsoft en X, que el jueves anunció un problema que afecten a las “aplicaciones y servicios de Microsoft 365” y un anuncio aparte El viernes se aborda la interrupción del servicio de CrowdStrike. Los dos problemas se están rastreando con diferentes números de referencia.
A primera hora de la mañana del viernes, Microsoft dijo que el problema con Microsoft 365 se había resuelto y que La situación estaba mejorandoMicrosoft no respondió de inmediato a una solicitud de comentarios.
Dado que la actualización del software de CrowdStrike fue distribuida por los propios sistemas de la compañía, parece poco probable que Microsoft tenga responsabilidad directa por las interrupciones del viernes, dijo Beaumont, quien dijo que revisó una copia de la actualización defectuosa de CrowdStrike.
El problema con la actualización de CrowdStrike fue que no estaba formateada correctamente “y provoca que Windows se bloquee cada vez”, dijo Beaumont. publicado en X.
Olesya Dmitracova de CNN colaboró con este informe.
Esta historia ha sido actualizada con contexto y desarrollos adicionales.
