Te compartimos lo que se debe hacer ante el reciente incidente relacionado a actualizaciones de Sensores de Falcon CrowdStrike.
DescripciĆ³n de la Vulnerabilidad
Ā
Se identificĆ³ que mediante una liberaciĆ³n de actualizaciĆ³n de sensores de CrowdStrike, una irrupciĆ³n de servicio era causada implicando el error BSOD (Blue Screen of Death) de Windows, implicando la disponibilidad de dispositivos con Windows al menos en una versiĆ³n mayor a 7, ya que se informa que sistemas operativos de Mac y Linux no fueron afectados.
Ā
Origen de IrrupciĆ³n en CrowdStrike
Ā
Se identificĆ³ que la actualizaciĆ³n de sensores correspondiente al horario de 04:09 UTC, fue el origen la irrupciĆ³n, generando el error previo mencionado, cabe destacar que para las actualizaciones tomadas despuĆ©s del horario 05:27 UTC ya no cuentan con esta vulnerabilidad de irrupciĆ³n.
Ā
ĀæCĆ³mo solventarlo?
Ā
CrowdStrike ha liberado acciones que pueden ser llevadas a cabo a fin de brindar una soluciĆ³n a la irrupciĆ³n de servicio.
Ā
Hosts individuales:
Ā
Reiniciar el host para darle la oportunidad de descargar el archivo de revertido.
Si el host se bloquea de nuevo, entonces:
1. Arranque Windows en modo seguro o en el entorno de recuperaciĆ³n de Windows.
2. Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike
3. Localice el archivo Ā«C-00000291*.sysĀ» y elimĆnelo.
4. Arranque el sistema normalmente.
Ā Los hosts cifrados con BitLocker pueden requerir una clave de recuperaciĆ³n.
Nube pĆŗblica o entorno virtual:
Ā
OpciĆ³n 1:
Ā
Separe el volumen de disco del sistema operativo del servidor virtual
Crear una instantĆ”nea o copia de seguridad del volumen de disco antes de seguir adelante como medida de precauciĆ³n contra cambios involuntarios.
Adjunte/monte el volumen a un nuevo servidor virtual
Dirigirse al Directorio %WINDIR%\System32\drivers\CrowdStrike
Localice el archivo Ā«C-00000291*.sysĀ» y elimĆnelo.
Separe el volumen del nuevo servidor virtual.
Vuelva a unir el volumen fijo al servidor virtual impactado.
Ā
OpciĆ³n 2:
Ā
Retroceder a una instantƔnea anterior a las 04:09 UTC.
Pasos de soluciĆ³n para Azure a travĆ©s de serie
Inicie sesiĆ³n en la consola de Azure --> Vaya a MĆ”quinas virtuales --> Seleccione la mĆ”quina virtual
Arriba a la izquierda en la consola --> Click : Ā«ConectarĀ» --> Haga clic en Ā«MĆ”s formas de conectarĀ» --> Haga clic en : Ā«SerialĀ»
Una vez cargado el SAC, teclea 'cmd' y pulsa enter.
Escriba el comando 'cmdĀ“
Teclear : ch -si 1
Introduzca las credenciales de administrador
Escriba lo siguiente:
- bcdedit /set {actual} safeboot minimal
- bcdedit /set {actual} safeboot network
Reiniciar VM
Ā
Comprobaciones
Ā
A fin de comprobar si el archivo se encuentra se coloca el siguiente comando de comprobaciĆ³n:
Ā
Get-ChildItem -Path "C:\" -Recurse -Filter "*C-00000291.sys*"
Ā
Consideraciones Adicionales
Ā
Si bien, la irrupciĆ³n de servicio no fue de carĆ”cter malicioso, la severidad del asunto y la desinformaciĆ³n que esto pueda generar, es posible que abra paso a ataques de ingenierĆa social.
Los ciberdelincuentes pueden aprovecharse de esta situaciĆ³n enviando correos electrĆ³nicos o mensajes que parecen provenir de CrowdStrike u otras fuentes fiables solicitando informaciĆ³n confidencial o la descarga de Software adicional para corregir la vulnerabilidad, es importante permanecer atento solo a fuentes fiables y oficiales.
Ā
Referencias
SOC Radar. (2024, 19 de julio). CrowdStrike Update Causing Blue Screen of Death and Microsoft 365/Azure Outage - SOCRadarĀ® Cyber Intelligence Inc. SOCRadarĀ® Cyber Intelligence Inc. https://socradar.io/crowdstrike-update-causing-blue-screen-of-death-and-microsoft-365-azure-outage/
Ā