La caída global del sistema informático afectó a menos del 1% de todas las máquinas Windows, informó Microsoft. Si bien es un porcentaje menor, la compañía reconoció los amplios impactos económicos y sociales que hubo y CrowdStrike explicó por qué falló la actualización.
El viernes pasado, una actualización defectuosa de CrowdStrike afectó al sistema informático a nivel mundial, dejando con problemas de funcionamiento a bancos, cajeros automáticos, aerolíneas, cadenas de televisión, atención médica, supermercados y otras industrias con servidores Windows conectados a la plataforma de ciberseguridad. Recientemente, Microsoft reveló con exactitud cuántos dispositivos sufrieron este fallo: 8,5 millones, que son menos del 1% de las máquinas Windows.
En un comunicado donde detalla cómo actuaron con sus clientes para ayudar y solucionar el fallo, Microsoft explicó: “Si bien las actualizaciones de software pueden causar problemas ocasionalmente, los incidentes importantes como el evento de CrowdStrike son poco frecuentes. Actualmente, estimamos que la actualización de CrowdStrike afectó a 8,5 millones de dispositivos Windows, o menos del uno por ciento de todas las máquinas Windows”. Además, Microsoft admite que si bien el porcentaje de afectados es pequeño, “los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por parte de empresas que ejecutan muchos servicios críticos”.
Por otro lado, CrowdStrike también compartió detalles de lo sucedido y confirmó que los dispositivos afectados fueron aquellos que ejecutaban el sensor Falcon para Windows 7.11 y versiones posteriores y que estuvieron en línea el 19 de julio entre las 04:09 UTC y las 05:27 UTC. Además, la compañía agregó que quienes descargaron la configuración actualizada entre esos horarios “fueron susceptibles al bloqueo del sistema”.
Ahora bien, ¿por qué falló esa actualización? Según CrowdStrike, la pantalla azul de Windows apareció en tantos servicios por un error causado por la actualización archivo de configuración denominado “archivo de canal”. Estos forman parte de los mecanismos de protección del comportamiento que utiliza el sensor Falcon.
“Las actualizaciones de los archivos de canal son una parte normal del funcionamiento del sensor y se producen varias veces al día en respuesta a nuevas tácticas, técnicas y procedimientos descubiertos por CrowdStrike. Este no es un proceso nuevo. La arquitectura ha estado vigente desde el inicio de Falcon”, explicó la compañía. Entonces, ¿qué pasó? Aparentemente, el archivo tenía una terminación no válida que desencadenó un bloqueo del sistema operativo.
“La actualización que se produjo a las 04:09 UTC se diseñó para atacar las canalizaciones con nombre maliciosas que se habían observado recientemente y que utilizaban los marcos C2 comunes en ciberataques. La actualización de configuración desencadenó un error lógico que provocó un bloqueo del sistema operativo”, agregó CrowdStrike en un comunicado.
Tanto Microsoft como CrowdStrike compartieron cómo solucionar este error.