La empresa de ciberseguridad CrowdStrike ha publicado un análisis detallado sobre la falla en la actualización de su software Falcon Sensor que causó la paralización de millones de dispositivos Windows a nivel mundial. Este informe de causa raíz, conocido como el incidente del «Archivo de canal 291», expone los problemas de validación de contenido que desencadenaron el problema.
El problema surgió tras la implementación de una nueva plantilla diseñada para mejorar la detección de técnicas de ataque que utilizan canalizaciones con nombre y otros mecanismos de comunicación entre procesos (IPC) de Windows. Sin embargo, una actualización problemática del contenido implementada en la nube provocó un desajuste entre las entradas pasadas al Validador de contenido y las suministradas al Intérprete de contenido, lo que llevó al fallo.
Detalles del Incidente
El análisis de CrowdStrike indica que la actualización incluyó un campo de parámetro de entrada adicional, el número 21, que no se detectó durante las múltiples capas del proceso de prueba debido al uso de criterios de coincidencia comodín. Esta discrepancia no fue marcada hasta que el contenido problemático fue enviado a los sensores.
«Los sensores que recibieron la nueva versión del Archivo de Canal 291 con el contenido problemático estuvieron expuestos a un problema de lectura fuera de límites latente en el Intérprete de Contenido», explicó la compañía. Esto provocó un acceso de memoria fuera de los límites que resultó en el bloqueo del sistema.
Medidas Correctivas
Para solucionar el problema, CrowdStrike ha implementado varias correcciones y mejoras en sus procesos y tecnologías:
- Validación de la Cantidad de Campos de Entrada: Ahora se validan los campos de entrada en el tipo de plantilla durante la compilación del sensor para asegurar la concordancia.
- Controles de Límites de Matriz de Entrada: Se han agregado controles en tiempo de ejecución para evitar lecturas de memoria fuera de los límites.
- Pruebas de Criterios de Coincidencia sin Comodines: Se han ampliado las pruebas para incluir criterios de coincidencia sin comodines para cada campo en todos los tipos de plantilla futuros.
Mejoras Adicionales
CrowdStrike también ha realizado las siguientes mejoras:
- Validador de Contenido: Nuevas comprobaciones que aseguran que las instancias de plantilla no incluyan criterios de coincidencia en más campos de los proporcionados al intérprete.
- Configuración de Contenido: Actualización de los procedimientos de prueba y las capas de implementación adicionales.
- Plataforma Falcon: Se ha actualizado para ofrecer a los clientes un mayor control sobre la entrega de contenido de respuesta rápida.
Revisiones Externas y Colaboración con Microsoft
CrowdStrike ha contratado a dos proveedores de software de seguridad independientes para realizar una revisión exhaustiva del código del sensor Falcon y del proceso de calidad. Además, está colaborando con Microsoft para realizar funciones de seguridad en el espacio del usuario en lugar de depender de un controlador del núcleo.
«El controlador del núcleo de CrowdStrike se carga desde una fase temprana del arranque del sistema para permitir que el sensor observe y se defienda contra el malware», afirmó la compañía.
Consecuencias del Incidente
La publicación del análisis de causa raíz se produce después de que Delta Air Lines anunciara que reclamará daños a CrowdStrike y Microsoft por las interrupciones que causaron aproximadamente 500 millones de dólares en ingresos perdidos y costos adicionales relacionados con miles de vuelos cancelados.
CrowdStrike y Microsoft han respondido afirmando que no son responsables de la interrupción y que los problemas de la aerolínea podrían ser más profundos que la actualización de seguridad defectuosa.
Conclusión
CrowdStrike continúa reforzando sus medidas de seguridad y validación para evitar futuros incidentes, demostrando su compromiso con la mejora continua y la seguridad de sus clientes.
Para más información, visite el sitio web de CrowdStrike.
