Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • CrowdStrike revela la causa raíz de las interrupciones del sistema global
  • Tecnología

CrowdStrike revela la causa raíz de las interrupciones del sistema global

teknomers 7 de Ağustos de 2024 (Last updated: 7 de Ağustos de 2024) 6 minutes read
CrowdStrike revela la causa raíz de las interrupciones del sistema


7 de agosto de 2024Ravie LakshmananCiberseguridad / Respuesta a incidentes

La empresa de ciberseguridad CrowdStrike ha publicado su análisis de causa raíz que detalla la falla en la actualización del software Falcon Sensor que paralizó millones de dispositivos Windows en todo el mundo.

El incidente del “Archivo de canal 291”, como se destacó originalmente en su Revisión preliminar posterior al incidente (PIR), se remonta a un problema de validación de contenido que surgió después de introducir un nuevo tipo de plantilla para permitir la visibilidad y la detección de nuevas técnicas de ataque que abusan de las canalizaciones con nombre y otros mecanismos de comunicación entre procesos (IPC) de Windows.

Específicamente, está relacionado con una actualización de contenido problemática implementada en la nube, y la compañía la describe como una “confluencia” de varias deficiencias que llevaron a un bloqueo; la más destacada de ellas es un desajuste entre las 21 entradas pasadas al Validador de contenido a través del Tipo de plantilla IPC en comparación con las 20 suministradas al Intérprete de contenido.

CrowdStrike dijo que el desajuste de parámetros no se descubrió durante “múltiples capas” del proceso de prueba, en parte debido al uso de criterios de coincidencia comodín para la entrada número 21 durante las pruebas y en las instancias de plantilla de IPC iniciales que se entregaron entre marzo y abril de 2024.

En otras palabras, la nueva versión del Archivo de canal 291, lanzada el 19 de julio de 2024, fue la primera instancia de plantilla de IPC que utilizó el campo de parámetro de entrada número 21. La falta de un caso de prueba específico para los criterios de coincidencia sin comodines en el campo número 21 significó que esto no se marcó hasta después de que el contenido de respuesta rápida se envió a los sensores.

La seguridad cibernética

“Los sensores que recibieron la nueva versión del Archivo de Canal 291 con el contenido problemático estuvieron expuestos a un problema de lectura fuera de límites latente en el Intérprete de Contenido”, dijo la compañía.

“En la siguiente notificación de IPC del sistema operativo, se evaluaron las nuevas instancias de plantilla de IPC y se especificó una comparación con el valor de entrada número 21. El intérprete de contenido esperaba solo 20 valores. Por lo tanto, el intento de acceder al valor número 21 produjo una lectura de memoria fuera de los límites más allá del final de la matriz de datos de entrada y provocó un bloqueo del sistema”.

Además de validar la cantidad de campos de entrada en el tipo de plantilla en el momento de compilación del sensor para solucionar el problema, CrowdStrike dijo que también agregó controles de límites de matriz de entrada en tiempo de ejecución al intérprete de contenido para evitar lecturas de memoria fuera de los límites y corrigió la cantidad de entradas proporcionadas por el tipo de plantilla IPC.

“La comprobación de límites adicional evita que el intérprete de contenido realice un acceso fuera de los límites de la matriz de entrada y bloquee el sistema”, señaló. “La comprobación adicional agrega una capa adicional de validación en tiempo de ejecución que indica que el tamaño de la matriz de entrada coincide con la cantidad de entradas esperadas por el contenido de respuesta rápida”.

Además de eso, CrowdStrike dijo que planea aumentar la cobertura de pruebas durante el desarrollo del tipo de plantilla para incluir casos de prueba para criterios de coincidencia sin comodines para cada campo en todos los tipos de plantilla (futuros).

También se espera que algunas de las actualizaciones de los sensores resuelvan las siguientes deficiencias:

  • Se está modificando el Validador de contenido para agregar nuevas comprobaciones que garanticen que el contenido en las Instancias de plantilla no incluya criterios coincidentes que coincidan en más campos de los que se proporcionan como entrada al Intérprete de contenido.
  • Se está modificando el Validador de Contenido para permitir únicamente criterios de coincidencia de comodines en el campo 21, lo que evita el acceso fuera de límites en los sensores que solo proporcionan 20 entradas.
  • El sistema de configuración de contenido se ha actualizado con nuevos procedimientos de prueba para garantizar que se pruebe cada nueva instancia de plantilla, independientemente del hecho de que la instancia de plantilla inicial se prueba con el tipo de plantilla en la creación.
  • El sistema de configuración de contenido se ha actualizado con capas de implementación adicionales y verificaciones de aceptación.
  • La plataforma Falcon se ha actualizado para brindar a los clientes un mayor control sobre la entrega de contenido de respuesta rápida.

Por último, pero no por ello menos importante, CrowdStrike afirmó que ha contratado a dos proveedores de software de seguridad independientes para que realicen una revisión más exhaustiva del código del sensor Falcon, tanto en términos de seguridad como de garantía de calidad. También está llevando a cabo una revisión independiente del proceso de calidad de principio a fin, desde el desarrollo hasta la implementación.

La seguridad cibernética

Además, se ha comprometido a trabajar con Microsoft a medida que Windows introduce nuevas formas de realizar funciones de seguridad en el espacio del usuario en lugar de depender de un controlador del núcleo.

“El controlador del núcleo de CrowdStrike se carga desde una fase temprana del arranque del sistema para permitir que el sensor observe y se defienda contra el malware que se lanza antes de que se inicien los procesos del modo de usuario”, afirmó.

“Al proporcionar contenido de seguridad actualizado (por ejemplo, el contenido de respuesta rápida de CrowdStrike) a estas capacidades del núcleo, el sensor puede defender los sistemas contra un panorama de amenazas en rápida evolución sin realizar cambios en el código del núcleo. El contenido de respuesta rápida son datos de configuración; no es código ni un controlador del núcleo”.

La publicación del análisis de causa raíz se produce cuando Delta Air Lines dicho “No tiene otra opción” que reclamar daños y perjuicios a CrowdStrike y Microsoft por causar interrupciones masivas y costarle unos 500 millones de dólares en ingresos perdidos y costos adicionales relacionados con miles de vuelos cancelados.

Tanto CrowdStrike como Microsoft tienen desde respondió ante las críticas, afirmando que no tienen la culpa de la interrupción que duró varios días y que Delta rechazó sus ofertas de asistencia en el sitio, indicando que los problemas de la aerolínea podrían ser mucho más profundos que el hecho de que sus máquinas Windows se cayeran como resultado de la actualización de seguridad defectuosa.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Un estudio revela que ver deportes desde el sofá puede quemar tantas calorías como hacer ejercicio
Next: Pershing Square de Ackman considera un acuerdo para privatizar un grupo inmobiliario

Related Stories

Meta AI: alerta parental si un adolescente habla de suicidio
  • Tecnología

Meta AI: alerta parental si un adolescente habla de suicidio

teknomers 16 de Temmuz de 2026
Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida
  • Tecnología

Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida durante más de diez años

teknomers 16 de Temmuz de 2026
Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla
  • Tecnología

Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla

teknomers 16 de Temmuz de 2026

You May Have Missed

Argentina acusa a un buque de guerra británico de intrusión
  • General

Argentina acusa a un buque de guerra británico de intrusión en sus aguas territoriales tras su victoria en la Copa del Mundo.

teknomers 16 de Temmuz de 2026
  • Finanzas

«Cerca de un cuarto de electricidad consumida de más»: la red eléctrica puesta a prueba por los picos de calor

teknomers 16 de Temmuz de 2026
«Un minuto de silencio por Inglaterra que ha muerto»: el
  • Deporte

«Un minuto de silencio por Inglaterra que ha muerto»: el vacile del vestuario argentino tras la victoria en semifinales.

teknomers 16 de Temmuz de 2026
  • Cultura

«Eso hace brillar nuestra cultura»: cómo la K-pop permite que Corea relance su artesanía y su folclore.

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.