El viernes 19 de Julio de 2024, cerca de 8,5 millones de sistemas Windows cayeron en uno de las más importantes “caídas de sistema” de la historia. La causa fue una actualización que contenía una falla en la configuración del software de seguridad “CrowdStrike Falcon”, generando la temida “Pantalla azul de la muerte” (BSOD) en todas las máquinas afectadas. Tomando en cuenta el foco del CrowdStrike Falcon Enterprise, el impacto fue enorme, afectando numerosos sistemas críticos en diversos sectores. Impacto global

La caídas afectaron diversas áreas incluyendo aeropuertos, hospitales, bancos, centrales de energía, agencias de noticias y organizaciones gubernamentales. Las consecuencias fueron de largo alcance:

• Aeropuertos: Muchos aviones vieron impedido su despegue multiples países
• Servicios de emergencia: los números de emergencia como el 911 o 999 no pudieron prestar servicios
• Hospitales: Procedimientos médicos tuvieron que ser cancelados
• Bancos: Miles de cajeros automáticos offline
• Mercado de valores: El comercio detenido
• Transporte público: Buses y trenes demorados
• Puertos: Naves estancadas
• Controles de aduana: Operaciones detenidas
• Servicios Online: ICANN y otros servicios basados en Windows se vieron afectados
• Plantas Nucleares: Se reportan impactos aún no confirmados
• Rusia: Incluso en el gigante ruso se reportan diversos problemas relacionados

La tarea de restaurar los sistemas no fue algo simple, los usuarios tuvieron que iniciar en modo a prueba de fallos para borrar archivos en forma manual mientras Microsoft liberaba una herramienta que permitió crear un USB de recuperación, cada sistema afectado requirió intervención manual. En algunos casos, reiniciar las máquinas repetidas veces permitió solucionar el problema, pero esto no es en ningún caso una solución confiable.

La demora en difundir la información para corregir el problema significó que algunas de las compañías más grandes del mundo tuvieran que detener sus operaciones, potencialmente perdiendo billones de dólares en el proceso. Reddit está lleno de historias sobre administradores de TI perdiendo sus trabajos, enfrentando amenazas legales o trabajando 24 horas tratando de restaurar sus sistemas. Muchas compañías vieron miles de sistemas afectados.

No sorprende que internet vió, como siempre, una tormenta de llamados a botar literalmente los productos de seguridad de CrowdStrike debido a potenciales nuevos problemas. Pero en cualquier caso, no hay que olvidar, que ha habido similares eventos que implican a otras marcas incluyendo Panda Security, Kapersky y McCafee. Irónicamente, George Kurtz, co fundador de CrowdStrike, era gerente técnico de McCafee justo en el incidente mencionado.

El post-mortem inicial de CrowdStrike, identificó el problema con el archivo C-00000291*.sys, diseñado para preparar el Falcon EDR para que detectara malware aprovechando una vulnerabilidad de Windows al utilizar “Named pipes” para la comunicación C2. Desafortunadamente esta actualización causó un error de lógica a nivel del kernel de Windows provocando la temida BSOD. Tan pronto como la actualización se fue propagando, los sistemas comenzaron a fallar.