Te compartimos lo que se debe hacer ante el reciente incidente relacionado a actualizaciones de Sensores de Falcon CrowdStrike.
Descripción de la Vulnerabilidad
Se identificó que mediante una liberación de actualización de sensores de CrowdStrike, una irrupción de servicio era causada implicando el error BSOD (Blue Screen of Death) de Windows, implicando la disponibilidad de dispositivos con Windows al menos en una versión mayor a 7, ya que se informa que sistemas operativos de Mac y Linux no fueron afectados.
Origen de Irrupción en CrowdStrike
Se identificó que la actualización de sensores correspondiente al horario de 04:09 UTC, fue el origen la irrupción, generando el error previo mencionado, cabe destacar que para las actualizaciones tomadas después del horario 05:27 UTC ya no cuentan con esta vulnerabilidad de irrupción.
¿Cómo solventarlo?
CrowdStrike ha liberado acciones que pueden ser llevadas a cabo a fin de brindar una solución a la irrupción de servicio.
Hosts individuales:
Reiniciar el host para darle la oportunidad de descargar el archivo de revertido.
Si el host se bloquea de nuevo, entonces:
1. Arranque Windows en modo seguro o en el entorno de recuperación de Windows.
2. Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike
3. Localice el archivo «C-00000291*.sys» y elimínelo.
4. Arranque el sistema normalmente.
Los hosts cifrados con BitLocker pueden requerir una clave de recuperación.
Nube pública o entorno virtual:
Opción 1:
Separe el volumen de disco del sistema operativo del servidor virtual
Crear una instantánea o copia de seguridad del volumen de disco antes de seguir adelante como medida de precaución contra cambios involuntarios.
Adjunte/monte el volumen a un nuevo servidor virtual
Dirigirse al Directorio %WINDIR%\System32\drivers\CrowdStrike
Localice el archivo «C-00000291*.sys» y elimínelo.
Separe el volumen del nuevo servidor virtual.
Vuelva a unir el volumen fijo al servidor virtual impactado.
Opción 2:
Retroceder a una instantánea anterior a las 04:09 UTC.
Pasos de solución para Azure a través de serie
Inicie sesión en la consola de Azure --> Vaya a Máquinas virtuales --> Seleccione la máquina virtual
Arriba a la izquierda en la consola --> Click : «Conectar» --> Haga clic en «Más formas de conectar» --> Haga clic en : «Serial»
Una vez cargado el SAC, teclea 'cmd' y pulsa enter.
Escriba el comando 'cmd´
Teclear : ch -si 1
Introduzca las credenciales de administrador
Escriba lo siguiente:
- bcdedit /set {actual} safeboot minimal
- bcdedit /set {actual} safeboot network
Reiniciar VM
Comprobaciones
A fin de comprobar si el archivo se encuentra se coloca el siguiente comando de comprobación:
Get-ChildItem -Path "C:\" -Recurse -Filter "*C-00000291.sys*"
Consideraciones Adicionales
Si bien, la irrupción de servicio no fue de carácter malicioso, la severidad del asunto y la desinformación que esto pueda generar, es posible que abra paso a ataques de ingeniería social.
Los ciberdelincuentes pueden aprovecharse de esta situación enviando correos electrónicos o mensajes que parecen provenir de CrowdStrike u otras fuentes fiables solicitando información confidencial o la descarga de Software adicional para corregir la vulnerabilidad, es importante permanecer atento solo a fuentes fiables y oficiales.
Referencias
SOC Radar. (2024, 19 de julio). CrowdStrike Update Causing Blue Screen of Death and Microsoft 365/Azure Outage - SOCRadar® Cyber Intelligence Inc. SOCRadar® Cyber Intelligence Inc. https://socradar.io/crowdstrike-update-causing-blue-screen-of-death-and-microsoft-365-azure-outage/
Comments