Seguridad

La actualización CrowdStrike bloquea los sistemas Windows y provoca cortes en todo el mundo

La actualización CrowdStrike bloquea los sistemas Windows y provoca cortes en todo el mundo

Un componente defectuoso en la última actualización de CrowdStrike Falcon está fallando los sistemas Windows, afectando a varias organizaciones y servicios en todo el mundo, incluidos aeropuertos, estaciones de televisión y hospitales.

El problema afecta a los equipos de escritorio y servidores de Windows, y los usuarios informan de interrupciones masivas que han dejado fuera de línea a empresas enteras y flotas de cientos de miles de computadoras.

Según algunos informes, los servicios de emergencia en Estados Unidos y Canadá también se han visto afectados.

Solución alternativa para la actualización defectuosa de CrowdStrike

En las últimas horas, los usuarios se han quejado de que los hosts de Windows están atrapados en un bucle de arranque o experimentan la pantalla azul de la muerte (BSOD) después de instalar la última actualización de CrowdStrike Falcon Sensor.

El proveedor de seguridad reconoció el problema y emitió una alerta técnica explicando que sus ingenieros “identificaron una implementación de contenido relacionada con este problema y revirtieron estos cambios”.

“Los síntomas incluyen que los hosts experimenten un error de verificación de errores o una pantalla azul relacionada con el sensor Falcon”, dice CrowdStrike en la alerta técnica.

La empresa reveló que el culpable es un archivo de canal que contiene datos para el sensor (por ejemplo, instrucciones). Como se trata simplemente de un componente de la actualización del sensor, este tipo de archivo se puede procesar individualmente sin eliminar la actualización del sensor Falcon.

Para aquellos que ya están afectados, CrowdStrike ofrece los siguientes pasos alternativos:

  1. Inicie Windows en modo seguro o en el entorno de recuperación de Windows
  2. Navegue al directorio C:\Windows\System32\drivers\CrowdStrike
  3. Busque el archivo correspondiente a “C-00000291*.sys” y elimínelo.
  4. Inicie el host normalmente.

George Kurtz, presidente y director ejecutivo de CrowdStrike, anunció hace minutos que la compañía está “trabajando activamente con los clientes” y confirmó que los problemas se deben “a un defecto encontrado en una única actualización de contenido para los hosts de Windows”.

“También recomendamos que las organizaciones se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales. Nuestro equipo está completamente movilizado para garantizar la seguridad y estabilidad de los clientes de CrowdStrike” – George Kurtz

El director ejecutivo de CrowdStrike dice que hay un parche disponible y aconseja a los clientes que visiten el portal de soporte para obtener las últimas actualizaciones.

El CEO de CrowdStrike habla sobre la actualización defectuosa que bloquea los hosts de Windows
El CEO de CrowdStrike habla sobre la actualización defectuosa que bloquea los hosts de Windows
fuente: George Kurtz

En una declaración actualizada, CrowdStrike dice que “el archivo de canal problemático [C-00000291*.sys” with timestamp of 0409 UTC] ha sido restablecido” y la versión correcta es C-00000291*.sys con una marca de tiempo de 0527 UTC o posterior.

La compañía también ofrece dos opciones para resolver el problema en entornos virtuales y de nube, una de las cuales es volver a una instantánea antes de las 04:09 UTC. La segunda opción es el siguiente procedimiento de siete pasos:

  • Separe el volumen del disco del sistema operativo del servidor virtual afectado
  • Cree una instantánea o una copia de seguridad del volumen del disco antes de continuar, como precaución contra cambios no deseados.
  • Adjuntar/montar el volumen en un nuevo servidor virtual
  • Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike
  • Busque el archivo correspondiente a “C-00000291*.sys” y elimínelo.
  • Separe el volumen del nuevo servidor virtual
  • Adjunte el volumen fijo al servidor virtual afectado

El corte de energía afecta a aerolíneas y hospitales de todo el mundo

Sin embargo, en el momento del parche, muchas organizaciones grandes en muchos sectores verticales ya se habían visto afectadas.

Algunos informes indican que la actualización de CrowdStrike afectó a algunas agencias de servicios de emergencia 911 en el estado de Nueva York (EMS, policía, bomberos), Alaska y Arizona, así como a los servicios 911 en ciertas regiones de Canadá.

Un operador de telecomunicaciones del 911 en Illinois dijo que estaban “trabajando en papel hasta que todo vuelva a funcionar”.

Los informes también indican que la línea de ayuda sanitaria en Cataluña, España, está afectada y las autoridades están pidiendo a los ciudadanos que no llamen al 061 a menos que sea una emergencia.

Organización de radiodifusión holandesa nos dijo que el problema creó perturbaciones en el aeropuerto de Schiphol y “obligó a suspender varios vuelos” (operados por KLM y Transavia).

Aeropuerto de Melbourne dicho Según las autoridades, la aerolínea enfrenta “un problema tecnológico global que está afectando los procedimientos de check-in de algunas aerolíneas”. Los pasajeros más afectados son los que vuelan desde el extranjero a través de las aerolíneas Jetstar y Scoot.

Hace unas horas, en la última actualización, el El aeropuerto de Zurich dice que “los vuelos a Zúrich que ya están en vuelo todavía pueden aterrizar”, ningún avión “está despegando actualmente del aeropuerto de Zúrich” y no hay salidas hacia los Estados Unidos

Además, hay retrasos y cancelaciones y los pasajeros de cada aerolínea deben realizar el check-in manualmente.

Otros aeropuertos afectados son Berlín, Barcelona, ​​Brisbane, Edimburgo, Ámsterdam y Londres.

En los Estados Unidos, la Administración Federal de Aviación solicitudes recibidas para ayudar a varias aerolíneas (American Airlines, United, Delta) a realizar escalas hasta que se resuelva un “problema técnico que afecta a los sistemas informáticos”.

En los aeropuertos JFK y LaGuardia de Estados Unidos, los vuelos se vieron interrumpidos debido a las interrupciones provocadas por la actualización de CrowdStrike, dejando a los pasajeros varados.

También se vieron afectados algunos hospitales de los Países Bajos: Scheper en Emmen, el hospital Slingeland en Achterhoek y las estaciones de emergencia en Hoogeveen y Stadskanaal.

En Barcelona, ​​el Hospital Universitario de Terrassa y el Instituto de Oncología de Cataluña vivieron hoy problemas por el tema CrowdStrike, pero han comenzado a volver a la actividad normal.

En Estados Unidos, el Hospital Bellevue de Nueva York y el Hospital Langone de la Universidad de Nueva York también se ven afectados.

El viernes por la mañana, varios canales de televisión y medios informativos, como Noticias del cielo Y A B C sufrió interrupciones debido a cortes de TI.

Una gran cantidad de usuarios comenzaron a expresar su frustración en comentarios de Reddit sobre las decenas, si no cientos de miles de computadoras que fallaron después de la actualización de CrowdStrike y el impacto en sus negocios:

Aquí en Malasia, el 70% de nuestras computadoras portátiles están rotas y atascadas al inicio, la oficina central de Japón ha ordenado el cierre general de la empresa.

210.000 BSODS a las 10:57 am PST… y sigue aumentando… es malo…

Estaciones de trabajo y servidores aquí en Australia… flota de más de 50.000 vehículos: alguien se va a divertir.

Australia también está fracasando. Todo nuestro negocio está fuera de línea.

Es lo mismo aquí en Australia. Toda la empresa está destrozada.

La mitad de la empresa está quebrada. De alguna manera esto también afectó a nuestros servidores AWS. Interrupciones importantes del servicio para nuestros clientes.

Toda la organización y las entidades comerciales se encuentran aquí. La mitad del departamento de TI está bloqueado.

Actualmente estamos viendo problemas importantes aquí en Nueva Zelanda, con una interrupción en toda la empresa que afecta a servidores y estaciones de trabajo.

Admite sitios de Filipinas y China. Todos experimentamos lo mismo por igual

A pesar de implementar un parche y CrowdStrike brinda una solución alternativa para los hosts de Windows que ya están fallando, las empresas sentirán los efectos del problema por algún tiempo.

Los administradores tendrán un fin de semana largo, especialmente con flotas de TI de decenas o cientos de miles de computadoras, empleados que trabajan de forma remota, centros de datos externos o entornos de nube donde arrancar en modo seguro no es una opción.

Actualización [July 19, 09:59 ET]: Artículo editado para incluir detalles de mitigación para entornos virtuales y de nube.

También puede interesarte

Seguridad

Los piratas informáticos aprovechan la vulnerabilidad crítica de Fortinet EMS para implementar herramientas de acceso remoto

3 horas ago
morelljuanjose@gmail.com
Seguridad

Estaciones de trabajo de ingeniería salvo nuevo malware

7 horas ago
morelljuanjose@gmail.com
Seguridad

La botnet de malware BadBox infecta 192.000 dispositivos Android a pesar de la interrupción

11 horas ago
morelljuanjose@gmail.com

No te lo pierdas

Criptomonedas

¿La venta masiva de ballenas de Ethereum provocará una caída del precio de ETH por debajo de $ 3,000?

Startups

API: El problema silencioso de la seguridad fintech

Blockchain

Mejores colecciones de NFT: 20 de diciembre de 2024

Criptomonedas

Bitcoin está en el “punto de saturación”, según Glassnode