Defecto encontrado en el Sensor Falcon de CrowdStrike

19/07/2024 Noticias 0

CrowdStrike ha informado un defecto encontrado en una única actualización de contenido para su cliente de seguridad Falcon utilizado en computadoras con Windows; generando una indisponibilidad total en los mismos. Las computadoras que operan con Mac y Linux no se ven afectados. Se recomienda a las organizaciones afectadas que se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales.  

Hasta el momento de la presente publicación, el CERT-PY no ha recibido reportes de organizaciones en Paraguay con sistemas afectados. 

Productos afectados

  • CrowdStrike Falcon Sensor para Windows

Impacto

Los sistemas afectados experimentan un error de verificación pantalla azul (BSOD) relacionado con el Sensor Falcon afectando la disponibilidad.  

Recomendación

Crowdstrike ha identificado el error y revertido estos cambios en la actualización más reciente. Sin embargo, los sistemas afectados deben seguir estos pasos: 

Pasos de solución para hosts individuales:

      • Reinicie la computadora para darle la oportunidad de descargar el archivo que revierta la situación (se debe contar con conexión a internet). Si la computadora vuelve a fallar, entonces:
        • Inicie Windows en modo seguro o en el entorno de recuperación de Windows. NOTA: Poner la computadora en una red cableada (a diferencia de WiFi) y usar el Modo seguro con funciones de red puede ayudar a solucionar el problema.
        • Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike
        • Localice el/los archivos que coincidan con “C-00000291*.SYS” y elimínelo. Es decir que todo archivo que inicie con C-00000291 y tenga la extensión SYS. 
        • Inicie el host normalmente.

      Pasos alternativos para la nube pública o un entorno similar, incluido el virtual:

      • Opcion 1:
        • Separe el volumen de disco del sistema operativo del servidor virtual afectado 
        • Cree una instantánea o una copia de seguridad del volumen del disco antes de continuar como medida de precaución contra cambios no deseados.
        • Adjuntar/montar el volumen en un nuevo servidor virtual
        • Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike
        • Localice el archivo que coincida con “C-00000291*.SYS” y elimínelo.
        • Separe el volumen del nuevo servidor virtual
        • Vuelva a conectar el volumen fijo al servidor virtual afectado
      • Opción 2:
        • ​​​​​​​Regrese a un snapshot anterior a las 0409 UTC.
        • Observaciones:
          • Los sistemas Windows no impactados no requieren ninguna acción ya que el problema se ha revertido. 
          • Los sistemas basados en Windows que se pongan en línea después de las 0527 UTC tampoco se ven afectados
          • Los sistemas basados en Windows que ejecutan Windows 7/2008 R2 no se ven afectados.
          • Este problema no afecta a los hosts basados ​​en Mac o Linux

              Se ha visto que ciberdelincuentes aprovechan el interés para engañar a las víctimas con enlaces de actualización falsos. Recomendamos consultar solo fuentes oficiales.

              Algunos ejemplos de dominios maliciosos: 

              • crowdstrikebluescreen[.]com
              • crowdstrike0day[.]com
              • crowdstrike-bsod[.]com
              • crowdstrikedoomsday[.]com
              • crowdstrikefix[.]com
              • crowdstrikedown[.]site
              • crowdstriketoken[.]com

              Referencias 

              https://www.crowdstrike.com/blog/statement-on-windows-sensor-update

              https://azure.status.microsoft/en-gb/status

              Compartir: