Las interrupciones podrían resultar en la pérdida de “millones” para las organizaciones afectadas que han tenido que detener sus operaciones o cesar negocios, dice Lukasz Olejnik, un consultor independiente en ciberseguridad, quien menciona que la actualización de CrowdStrike parece estar relacionada con su producto Falcon Sensor. El sistema Falcon es parte de las herramientas de seguridad de CrowdStrike y puede bloquear ataques en sistemas, según la empresa.
“Nos recuerda nuestra dependencia de la TI y el software”, dice Olejnik. “Cuando un sistema tiene varios sistemas de software mantenidos por diferentes proveedores, esto equivale a confiar en ellos. Pueden ser un punto único de fallo—como ocurre aquí, cuando varias empresas sienten el impacto.”
La interrupción derivada de la actualización de CrowdStrike ha tenido un gran impacto en los servicios públicos y negocios alrededor del mundo. Cientos de aeropuertos están enfrentando retrasos y largas colas, con un pasajero en India compartiendo un pase de abordar manuscrito que le han emitido. En las horas después de que las interrupciones emergieron por primera vez, más de 4,000 vuelos en todo el mundo han sido cancelados, aunque no todos ellos pueden haber estado directamente relacionados con la interrupción.
Dentro del sector salud y servicios de emergencia, varios proveedores médicos alrededor del mundo han reportado problemas con sus sistemas vinculados a Windows, compartiendo noticias en redes sociales o en sus propios sitios web. El Sistema de Alerta de Emergencia de EE.UU., que emite advertencias de huracanes, dijo que ha habido varias interrupciones de 911 en varios estados. En Portland, el alcalde Ted Wheeler declaró una emergencia de ciudad como resultado de algunas de las interrupciones, aunque también dijo que muchos sistemas estaban siendo restaurados. Funcionarios de la Casa Blanca informaron que el presidente Joe Biden ha sido “informado” sobre las interrupciones de CrowdStrike y su equipo está monitoreando la situación.
El Hospital Universitario Schleswig-Holstein de Alemania dijo que estaba cancelando algunas cirugías no urgentes en dos ubicaciones. En Israel, más de una docena de hospitales han sido afectados, así como farmacias, con reportes indicando que las ambulancias han sido redirigidas a organizaciones médicas no afectadas.
En el Reino Unido, NHS Inglaterra ha confirmado que los sistemas de citas de médicos de cabecera y de registros de pacientes han sido afectados por las interrupciones. Un hospital ha declarado un incidente “crítico” después de que un sistema informático de terceros que utilizaba fue impactado. También en el país, los operadores de trenes han indicado que hay retrasos en toda la red, con múltiples compañías siendo afectadas.
Indicando la naturaleza de amplio alcance de la interrupción, los organizadores de los Juegos Olímpicos de París, que deben comenzar la próxima semana, dijeron que sus sistemas se han visto afectados de manera “limitada”. Según un comunicado de los organizadores, los sistemas afectados están relacionados con la entrega de uniformes y su sistema de boletos no se ha visto afectado.
Entre otros servicios, CrowdStrike proporciona detección y respuesta en puntos finales (EDR) a empresas alrededor del mundo. Esta tecnología EDR opera en miles de “puntos finales”—como computadoras, cajeros automáticos y dispositivos de Internet de las cosas—y los escanea para identificar amenazas en tiempo real, como actividades maliciosas por parte de cibercriminales. La empresa tiene más de 24,000 clientes alrededor del mundo.
El investigador en ciberseguridad Kevin Beaumont publicó en X que ha visto una copia de la actualización de CrowdStrike que fue emitida y dice que el archivo no está correctamente formateado y “hace que Windows se bloquee cada vez.” Beaumont señala, en publicaciones adicionales, que parece que no hay una manera automatizada de solucionar los problemas, al menos en este momento. Esto puede significar que las máquinas afectadas necesitan ser reiniciadas manualmente antes de que puedan volver a estar en línea, un proceso que podría llevar horas o días dependiendo de la entidad afectada.
Brody Nisbet, el director de supervisión en CrowdStrike, también publicó en X indicando que la solución alternativa que la empresa había emitido implica iniciar las máquinas con Windows en modo seguro, encontrar un archivo llamado “C-00000291*.sys,” eliminarlo, y luego reiniciar la máquina normalmente. “Hay un tipo de solución, así que algunos dispositivos entre los BSOD deberían recibir el nuevo archivo de canal y permanecer estables,” publicó Nisbet.
Actualización 19/07/24 1:35pm ET: Esta historia se ha actualizado con más comentarios de Microsoft y detalles adicionales sobre los impactos de la interrupción.
Fuente y créditos: www.wired.com
Cats: Security
