El mundo sigue recuperándose de la situación que provocó la fallida actualización de CrowdStrike del pasado viernes. El impacto global ha sido insólito y en Microsoft han relativizado las cifras pero dejando claro que en este caso no importa tanto la cantidad de sistemas afectados como su relevancia en la industria.
Un artículo en el blog oficial de Microsoft revela que según estimaciones de la compañía, el problema con la actualización de CrowdStrike "afectó a 8,5 millones de dispositivos Windows, menos del 1% de todas las máquinas Windows", publicó el portal tecnológico Xataka.
A pesar del bajo porcentaje de máquinas afectadas, en Microsoft destacaron que "los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por empresas que ejecutan muchos servicios críticos". Así es: aquí no estamos ante un ciberataque masivo como el que protagonizó WannaCry en 2017, sino en un fallo de seguridad que afectó a muchos menos sistemas, pero mucho más importantes.
Cuidado con los "Channel Files"
Los responsables de CrowdStrike publicaron más detalles sobre el problema y explicaron el funcionamiento de los llamados "Channel Files", un tipo de archivo que se usa para actualizar los mecanismos de protección de su software de seguridad Falcon. Las actualizaciones de estos Channel Files son frecuentes y "ocurren varias veces al día en respuesta a nuevas tácticas, técnicas y procedimientos descubiertos por CrowdStrike", aseguran.
Analistas en seguridad como Patrick Wardle, fundador de Objective-See, explicaron que el error parecía deberse a una referencia a una dirección de memoria inválida que provocaba el cuelgue de los sistemas. El citado post de CrowdStrike confirmaba esa teoría, indicando que la "actualización de la configuración activó un error lógico que resultaba en un cuelgue de sistema y en una pantalla azul (BSOD) en los sistemas afectados".
Actualizaciones que se lo saltan todo. Lo curioso aquí es que como luego comentaba también Wardle y comentaban en foros como el de Resetera, la actualización se saltó los controles de las empresas a la hora de instalar actualizaciones con políticas "staging" (primero en servidores de pruebas, luego en preproducción, y finalmente en producción) y se instaló en todos lados de forma directa.
Dependemos de unos "pocos" sistemas críticos. Se ha visto en el pasado con otras plataformas críticas como AWS: si se caen los servicios web de Amazon, la caída afecta a multitud de servicios. La dependencia de unos "pocos" sistemas críticos —pocos en comparación con los cientos de millones de PCs con Windows, por ej— es absoluta, y el fallo con CrowdStrike lo demuestra.
