mega888 Saltear al contenido principal
Boletín Informativo De Ciberseguridad

FALLO EN ACTUALIZACIÓN DE CROWDSTRIKE AFECTÓ A DISPOSITIVOS WINDOWS

DESCRIPCIÓN

CrowdStrike presentó un fallo relacionado a una actualización de su sensor Falcon para
dispositivos Windows. Los dispositivos MAC y Linux no se vieron afectados. Asimismo, la compañía ha descartado que se trate de un incidente de ciberseguridad o ciberataque. Detallan que el problema ya ha sido aislado y se ha proporcionado una solución. La actualización con fallo corresponde a un archivo «C-00000291*.sys» y no a la última versión del instalador. El horario de la versión problemática del archivo .sys corresponde 04:09 UTC. Todos los archivos con la misma nomenclatura «.sys» generados posterior a las 05:27 UTC, fueron archivos notificados por Crowdstrike como estable.


DETALLES Y AFECTACIÓN

  • Los síntomas incluyen hosts que experimentan un error de verificación de errores o pantalla azul relacionado con el sensor Falcon.
  • Los hosts de Windows que no se han visto afectados no requieren ninguna acción ya que el archivo de canal problemático se ha revertido.
  • Los hosts de Windows que se conecten en línea después de las 05:27 UTC tampoco se verán afectados.
  • Los hosts que ejecutan Windows 7/2008 R2 no se ven afectados.
  • Este problema no afecta a los hosts basados en MAC o Linux.
  • El archivo de canal «C-00000291*.sys» con marca de tiempo de 05:27 UTC o posterior es la versión revertida (buena).
  • El archivo de canal «C-00000291*.sys» con marca de tiempo de 04:09 UTC es la versión problemática.»

SOLUCIÓN
Para host individuales:

  1. Reinicie el host para darle la oportunidad de descargar el archivo de canal revertido. Si el host vuelve a fallar, haga lo siguiente:
    a. Arranque Windows en modo seguro o en el entorno de recuperación de Windows
    NOTA: Colocar el host en una red cableada (en lugar de WiFi) y usar el Modo seguro con funciones de red puede ayudar con la solución.
    b. Diríjase al directorio %WINDIR%\System32\drivers\CrowdStrike
    c. Localice el archivo que coincida con “C-00000291*.sys” y elimínelo.
    d. Arranque el host normalmente

Nota: Los hosts cifrados con Bitlocker pueden requerir una clave de recuperación.

Para nube pública o entornos virtuales similares

Opción 1:

  1. Separe el volumen del disco del sistema operativo del servidor virtual afectado
  2. Cree una instantánea o una copia de seguridad del volumen del disco antes de continuar como medida de precaución contra cambios no deseados.
  3. Adjuntar/montar el volumen a un nuevo servidor virtual
  4. Diríjase al directorio %WINDIR%\System32\drivers\CrowdStrike
  5. Localice el archivo que coincida con “C-00000291*.sys” y elimínelo.
  6. Desconecte el volumen del nuevo servidor virtual
  7. Vuelva a conectar el volumen fijo al servidor virtual afectado

Opción 2:

  • Regrese a una instantánea anterior a las 04:09 UTC.
    Para solucionar el fallo en instancias AWS, AZURE o dispositivos con Bitlocker, seguir las instrucciones oficiales de la fuente 1.

REFERENCIAS

Fuente 1: https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/

Fuente 2: https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/

Fuente 3: https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617

Fuente 4: https://x.com/azuresupport/status/1814226224937402684?s=46&t=8IOiGBUVriKwyowG3gReJA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Volver arriba