{"id":1290137,"date":"2024-07-24T22:00:10","date_gmt":"2024-07-24T22:00:10","guid":{"rendered":"https:\/\/teknomers.com\/es\/crowdstrike-explica-el-incidente-del-viernes-que-provoco-el-bloqueo-de-millones-de-dispositivos-windows\/"},"modified":"2024-07-24T22:00:15","modified_gmt":"2024-07-24T22:00:15","slug":"crowdstrike-explica-el-incidente-del-viernes-que-provoco-el-bloqueo-de-millones-de-dispositivos-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/crowdstrike-explica-el-incidente-del-viernes-que-provoco-el-bloqueo-de-millones-de-dispositivos-windows\/","title":{"rendered":"CrowdStrike explica el incidente del viernes que provoc\u00f3 el bloqueo de millones de dispositivos Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Actualizaci\u00f3n de software\/interrupci\u00f3n de TI<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/CrowdStrike-explica-el-incidente-del-viernes-que-provoco-el-bloqueo.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La empresa de ciberseguridad CrowdStrike culp\u00f3 el mi\u00e9rcoles a un problema en su sistema de validaci\u00f3n por causar que millones de dispositivos Windows fallaran como parte de una interrupci\u00f3n generalizada a fines de la semana pasada.<\/p>\n<p>&#8220;El viernes 19 de julio de 2024 a las 04:09 UTC, como parte de las operaciones regulares, CrowdStrike lanz\u00f3 una actualizaci\u00f3n de configuraci\u00f3n de contenido para el sensor de Windows para recopilar telemetr\u00eda sobre posibles t\u00e9cnicas de amenaza novedosas&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/falcon-content-update-remediation-and-guidance-hub\/\" target=\"_blank\">dicho<\/a> en su Revisi\u00f3n Preliminar Post Incidente (PIR).<\/p>\n<p>&#8220;Estas actualizaciones son una parte habitual de los mecanismos de protecci\u00f3n din\u00e1mica de la plataforma Falcon. La actualizaci\u00f3n problem\u00e1tica de la configuraci\u00f3n de Rapid Response Content provoc\u00f3 un bloqueo del sistema Windows&#8221;.<\/p>\n<p>El incidente afect\u00f3 a los hosts de Windows que ejecutaban la versi\u00f3n 7.11 del sensor y posteriores que estuvieron en l\u00ednea entre las 04:09 UTC y las 05:27 UTC del 19 de julio de 2024 y recibieron la actualizaci\u00f3n. Los sistemas macOS y Linux de Apple no se vieron afectados.<\/p>\n<p>CrowdStrike dijo que ofrece actualizaciones de configuraci\u00f3n de contenido de seguridad de dos maneras, una a trav\u00e9s de Sensor Content que se env\u00eda con Falcon Sensor y otra a trav\u00e9s de Rapid Response Content que le permite marcar nuevas amenazas utilizando varias t\u00e9cnicas de coincidencia de patrones de comportamiento.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Se dice que el fallo fue el resultado de una actualizaci\u00f3n de contenido de respuesta r\u00e1pida que conten\u00eda un error no detectado anteriormente. Vale la pena se\u00f1alar que dichas actualizaciones se entregan en forma de instancias de plantilla que corresponden a comportamientos espec\u00edficos (que se asignan a tipos de plantilla espec\u00edficos) para habilitar nueva telemetr\u00eda y detecci\u00f3n.<\/p>\n<p>Las instancias de plantilla, a su vez, se crean mediante un sistema de configuraci\u00f3n de contenido, despu\u00e9s de lo cual se implementan en el sensor a trav\u00e9s de la nube mediante un mecanismo denominado archivos de canal, que finalmente se escriben en el disco de la m\u00e1quina Windows. El sistema tambi\u00e9n incluye un componente Validador de contenido que realiza comprobaciones de validaci\u00f3n del contenido antes de publicarlo.<\/p>\n<p>&#8220;El contenido de respuesta r\u00e1pida proporciona visibilidad y detecciones en el sensor sin necesidad de cambiar el c\u00f3digo del sensor&#8221;, explic\u00f3.<\/p>\n<p>&#8220;Los ingenieros de detecci\u00f3n de amenazas utilizan esta capacidad para recopilar telemetr\u00eda, identificar indicadores de comportamiento del adversario y realizar detecciones y prevenciones. Rapid Response Content es una heur\u00edstica de comportamiento, independiente y distinta de las capacidades de prevenci\u00f3n y detecci\u00f3n de inteligencia artificial en el sensor de CrowdStrike&#8221;.<\/p>\n<p>Estas actualizaciones luego son analizadas por el int\u00e9rprete de contenido del sensor Falcon, que luego facilita que el motor de detecci\u00f3n de sensores detecte o prevenga actividad maliciosa.<\/p>\n<p>Si bien cada nuevo tipo de plantilla se somete a pruebas de estr\u00e9s para diferentes par\u00e1metros, como la utilizaci\u00f3n de recursos y el impacto en el rendimiento, la causa ra\u00edz del problema, seg\u00fan CrowdStrike, se remonta a la implementaci\u00f3n del tipo de plantilla de comunicaci\u00f3n entre procesos (IPC) el 28 de febrero de 2024, que se introdujo para marcar ataques que <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/ipc\/named-pipes\" target=\"_blank\">tuber\u00edas con nombre<\/a>.<\/p>\n<p>La cronolog\u00eda de los acontecimientos es la siguiente:<\/p>\n<ul>\n<li><strong>28 de febrero de 2024<\/strong> &#8211; CrowdStrike lanza el sensor 7.11 para los clientes con el nuevo tipo de plantilla IPC<\/li>\n<li><strong>5 de marzo de 2024<\/strong> &#8211; El tipo de plantilla IPC pasa la prueba de estr\u00e9s y est\u00e1 validado para su uso<\/li>\n<li><strong>5 de marzo de 2024<\/strong> &#8211; La instancia de plantilla de IPC se lanza a producci\u00f3n a trav\u00e9s del archivo de canal 291<\/li>\n<li><strong>8 al 24 de abril de 2024<\/strong> &#8211; Se han implementado tres instancias de plantilla IPC m\u00e1s en producci\u00f3n<\/li>\n<li><strong>19 de julio de 2024<\/strong> &#8211; Se implementan dos instancias de plantilla IPC adicionales, una de las cuales pasa la validaci\u00f3n a pesar de tener datos de contenido problem\u00e1ticos<\/li>\n<\/ul>\n<p>&#8220;En base a las pruebas realizadas antes de la implementaci\u00f3n inicial del tipo de plantilla (el 5 de marzo de 2024), la confianza en las verificaciones realizadas en el Validador de contenido y las implementaciones anteriores exitosas de instancias de plantilla de IPC, estas instancias se implementaron en producci\u00f3n&#8221;, afirm\u00f3 CrowdStrike.<\/p>\n<p>&#8220;Cuando el sensor lo recibi\u00f3 y lo carg\u00f3 en el int\u00e9rprete de contenido, el contenido problem\u00e1tico en el archivo de canal 291 provoc\u00f3 una lectura de memoria fuera de los l\u00edmites que activ\u00f3 una excepci\u00f3n. Esta excepci\u00f3n inesperada no se pudo manejar correctamente, lo que provoc\u00f3 un bloqueo del sistema operativo Windows (BSoD)&#8221;.<\/p>\n<p>En respuesta a las graves interrupciones causadas por el accidente y para evitar que vuelvan a ocurrir, la empresa con sede en Texas afirm\u00f3 que ha mejorado sus procesos de prueba y su mecanismo de gesti\u00f3n de errores en el Content Interpreter. Tambi\u00e9n est\u00e1 planeando implementar una estrategia de implementaci\u00f3n escalonada para Rapid Response Content.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/crowdstrike-explains-friday-windows.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de julio de 2024\ue804Sala de prensaActualizaci\u00f3n de software\/interrupci\u00f3n de TI La empresa de ciberseguridad CrowdStrike culp\u00f3 el<\/p>\n","protected":false},"author":1,"featured_media":1290138,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,6822,4664,243251,38,5718,1149,4662,6182,4668,4667,239182,327,4654,239508,4658,4659,4653,4905,4666,4665,408,239484,20385],"class_list":["post-1290137","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-bloqueo","tag-como-hackear","tag-crowdstrike","tag-del","tag-dispositivos","tag-explica","tag-filtracion-de-datos","tag-incidente","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-millones","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-provoco","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-viernes","tag-vulnerabilidad-del-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1290137","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1290137"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1290137\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1290138"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1290137"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1290137"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1290137"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}