CrowdStrike ofrece nuevos detalles sobre el apagón causado a Windows

La compañía de ciberseguridad CrowdStrike ha publicado los resultados de su revisión preliminar tras el incidente que causó el apagón de 8,5 millones de dispositivos Windows la semana pasada.

Todo comenzó el viernes 19 de julio de 2024 a las 04:09 UTC cuando CrowdStrike lanzó una actualización para el sensor Falcon con el fin de recopilar telemetría sobre amenazas. Esto implicó a máquinas Windows a partir de la versión 7.11 del sensor, mientras que los equipos Mac y Linux no se vieron afectados.

Concretamente, el impacto se produjo en equipos Windows conectados entre la hora de lanzamiento y las 05:27 UTC, cuando la actualización defectuosa fue revertida.

El problema tuvo que ver con Rapid Response Content o el contenido de respuesta rápida, cuya actualización de configuración provocó un fallo del sistema. Rapid Response Content permite recopilar telemetría, identificar indicadores de comportamiento de los adversarios y llevar a cabo detecciones y prevenciones, según explican desde CrowdStrike

“Debido a un error en el Validador de Contenido, una de las dos Instancias de Plantilla” desplegadas el 19 de julio “pasó la validación a pesar de contener datos de contenido problemáticos“, añaden sobre el origen del apagón informático.

Para que esto no se repita en el futuro, la compañía promete mejoras en las pruebas de software y también en el despliegue de contenido de respuesta rápida, incluyendo una estrategia de implementación escalonada.