La empresa de ciberseguridad CrowdStrike ha publicado<\/a> su an\u00e1lisis de causa ra\u00edz que detalla la falla en la actualizaci\u00f3n del software Falcon Sensor que paraliz\u00f3 millones de dispositivos Windows en todo el mundo.<\/p>\n El incidente del “Archivo de canal 291”, como se destac\u00f3 originalmente en su Revisi\u00f3n preliminar posterior al incidente (PIR), se remonta a un problema de validaci\u00f3n de contenido que surgi\u00f3 despu\u00e9s de introducir un nuevo tipo de plantilla para permitir la visibilidad y la detecci\u00f3n de nuevas t\u00e9cnicas de ataque que abusan de las canalizaciones con nombre y otros mecanismos de comunicaci\u00f3n entre procesos (IPC) de Windows.<\/p>\n Espec\u00edficamente, est\u00e1 relacionado con una actualizaci\u00f3n de contenido problem\u00e1tica implementada en la nube, y la compa\u00f1\u00eda la describe como una “confluencia” de varias deficiencias que llevaron a un bloqueo; la m\u00e1s destacada de ellas es un desajuste entre las 21 entradas pasadas al Validador de contenido a trav\u00e9s del Tipo de plantilla IPC en comparaci\u00f3n con las 20 suministradas al Int\u00e9rprete de contenido.<\/p>\n CrowdStrike dijo que el desajuste de par\u00e1metros no se descubri\u00f3 durante “m\u00faltiples capas” del proceso de prueba, en parte debido al uso de criterios de coincidencia comod\u00edn para la entrada n\u00famero 21 durante las pruebas y en las instancias de plantilla de IPC iniciales que se entregaron entre marzo y abril de 2024.<\/p>\n En otras palabras, la nueva versi\u00f3n del Archivo de canal 291, lanzada el 19 de julio de 2024, fue la primera instancia de plantilla de IPC que utiliz\u00f3 el campo de par\u00e1metro de entrada n\u00famero 21. La falta de un caso de prueba espec\u00edfico para los criterios de coincidencia sin comodines en el campo n\u00famero 21 signific\u00f3 que esto no se marc\u00f3 hasta despu\u00e9s de que el contenido de respuesta r\u00e1pida se envi\u00f3 a los sensores.<\/p>\n “Los sensores que recibieron la nueva versi\u00f3n del Archivo de Canal 291 con el contenido problem\u00e1tico estuvieron expuestos a un problema de lectura fuera de l\u00edmites latente en el Int\u00e9rprete de Contenido”, dijo la compa\u00f1\u00eda.<\/p>\n “En la siguiente notificaci\u00f3n de IPC del sistema operativo, se evaluaron las nuevas instancias de plantilla de IPC y se especific\u00f3 una comparaci\u00f3n con el valor de entrada n\u00famero 21. El int\u00e9rprete de contenido esperaba solo 20 valores. Por lo tanto, el intento de acceder al valor n\u00famero 21 produjo una lectura de memoria fuera de los l\u00edmites m\u00e1s all\u00e1 del final de la matriz de datos de entrada y provoc\u00f3 un bloqueo del sistema”.<\/p>\n Adem\u00e1s de validar la cantidad de campos de entrada en el tipo de plantilla en el momento de compilaci\u00f3n del sensor para solucionar el problema, CrowdStrike dijo que tambi\u00e9n agreg\u00f3 controles de l\u00edmites de matriz de entrada en tiempo de ejecuci\u00f3n al int\u00e9rprete de contenido para evitar lecturas de memoria fuera de los l\u00edmites y corrigi\u00f3 la cantidad de entradas proporcionadas por el tipo de plantilla IPC.<\/p>\n “La comprobaci\u00f3n de l\u00edmites adicional evita que el int\u00e9rprete de contenido realice un acceso fuera de los l\u00edmites de la matriz de entrada y bloquee el sistema”, se\u00f1al\u00f3. “La comprobaci\u00f3n adicional agrega una capa adicional de validaci\u00f3n en tiempo de ejecuci\u00f3n que indica que el tama\u00f1o de la matriz de entrada coincide con la cantidad de entradas esperadas por el contenido de respuesta r\u00e1pida”.<\/p>\n Adem\u00e1s de eso, CrowdStrike dijo que planea aumentar la cobertura de pruebas durante el desarrollo del tipo de plantilla para incluir casos de prueba para criterios de coincidencia sin comodines para cada campo en todos los tipos de plantilla (futuros).<\/p>\n Tambi\u00e9n se espera que algunas de las actualizaciones de los sensores resuelvan las siguientes deficiencias:<\/p>\n Por \u00faltimo, pero no por ello menos importante, CrowdStrike afirm\u00f3 que ha contratado a dos proveedores de software de seguridad independientes para que realicen una revisi\u00f3n m\u00e1s exhaustiva del c\u00f3digo del sensor Falcon, tanto en t\u00e9rminos de seguridad como de garant\u00eda de calidad. Tambi\u00e9n est\u00e1 llevando a cabo una revisi\u00f3n independiente del proceso de calidad de principio a fin, desde el desarrollo hasta la implementaci\u00f3n.<\/p>\n Adem\u00e1s, se ha comprometido a trabajar con Microsoft a medida que Windows introduce nuevas formas de realizar funciones de seguridad en el espacio del usuario en lugar de depender de un controlador del n\u00facleo.<\/p>\n “El controlador del n\u00facleo de CrowdStrike se carga desde una fase temprana del arranque del sistema para permitir que el sensor observe y se defienda contra el malware que se lanza antes de que se inicien los procesos del modo de usuario”, afirm\u00f3.<\/p>\n “Al proporcionar contenido de seguridad actualizado (por ejemplo, el contenido de respuesta r\u00e1pida de CrowdStrike) a estas capacidades del n\u00facleo, el sensor puede defender los sistemas contra un panorama de amenazas en r\u00e1pida evoluci\u00f3n sin realizar cambios en el c\u00f3digo del n\u00facleo. El contenido de respuesta r\u00e1pida son datos de configuraci\u00f3n; no es c\u00f3digo ni un controlador del n\u00facleo”.<\/p>\n La publicaci\u00f3n del an\u00e1lisis de causa ra\u00edz se produce cuando Delta Air Lines dicho<\/a> “No tiene otra opci\u00f3n” que reclamar da\u00f1os y perjuicios a CrowdStrike y Microsoft por causar interrupciones masivas y costarle unos 500 millones de d\u00f3lares en ingresos perdidos y costos adicionales relacionados con miles de vuelos cancelados.<\/p>\n Tanto CrowdStrike como Microsoft tienen desde<\/a> respondi\u00f3<\/a> ante las cr\u00edticas, afirmando que no tienen la culpa de la interrupci\u00f3n que dur\u00f3 varios d\u00edas y que Delta rechaz\u00f3 sus ofertas de asistencia en el sitio, indicando que los problemas de la aerol\u00ednea podr\u00edan ser mucho m\u00e1s profundos que el hecho de que sus m\u00e1quinas Windows se cayeran como resultado de la actualizaci\u00f3n de seguridad defectuosa.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/CrowdStrike-revela-la-causa-raiz-de-las-interrupciones-del-sistema.png\")
<\/a><\/center><\/div>\n\n
\n
\n
\n
\n
<\/a><\/center><\/section>\n