Hoy, CrowdStrike, una empresa líder en ciberseguridad, enfrentó un problema técnico significativo que resultó en una interrupción global de TI.
Este incidente, que no fue causado por un ciberataque, se atribuyó a una actualización defectuosa lanzada por la compañía.
La actualización provocó importantes interrupciones, incluida la infame «pantalla azul de la muerte» en sistemas Windows, afectando las operaciones en diversos sectores como la banca y la aviación.
Impacto y Respuesta de Crowdstrike
- Alcance de la Interrupción:
- Bancos e Instituciones Financieras: Varias entidades bancarias informaron caídas en sus sistemas de banca en línea y cajeros automáticos, lo que ocasionó retrasos en las transacciones y molestias a los clientes.
- Aerolíneas: Las aerolíneas enfrentaron retrasos y cancelaciones de vuelos debido a fallas en sus sistemas informáticos, afectando los sistemas de registro y reserva.
- Otras Empresas: Minoristas, compañías de logística y otras empresas que dependen de los servicios de CrowdStrike experimentaron interrupciones operativas.
- Acciones Inmediatas:
- Reversión de la Actualización: CrowdStrike identificó rápidamente la actualización defectuosa e inició una reversión para restaurar los sistemas afectados.
- Soporte al Cliente: La empresa estableció equipos de soporte dedicados para ayudar a los clientes a mitigar el impacto y asegurar la continuidad del negocio.
- Medidas a Largo Plazo:
- Revisión de Protocolos de Actualización: CrowdStrike anunció una revisión interna de sus procedimientos de actualización para prevenir incidentes similares en el futuro.
- Comunicación: Se proporcionaron actualizaciones regulares a clientes y partes interesadas para mantenerlos informados sobre el estado y los esfuerzos de resolución.
Análisis de Parches de Julio 2024 de
Microsoft lanzó actualizaciones de seguridad para 142 vulnerabilidades en su despliegue de Patch Tuesday de julio de 2024, incluyendo dos vulnerabilidades de día cero explotadas activamente y cinco vulnerabilidades críticas.
- Vulnerabilidades de Día Cero:
- CVE-2024-38080 (Windows Hyper-V): Esta vulnerabilidad de elevación de privilegios permite a los atacantes con autenticación de bajo nivel obtener privilegios de SISTEMA. Tiene una puntuación CVSS de 7.8.
- CVE-2024-38112 (Plataforma Windows MSHTML): Una vulnerabilidad de suplantación que puede llevar a la exposición parcial de datos. Tiene una puntuación CVSS de 7.5.
- Vulnerabilidades Críticas:
- Servicio de Licencias de Escritorio Remoto de Windows (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077): Tres vulnerabilidades críticas de ejecución remota de código, cada una con una puntuación CVSS de 9.8, que permiten a los atacantes no autenticados ejecutar código remotamente.
- Componente de Imágenes de Windows (CVE-2024-38060): Esta vulnerabilidad de ejecución remota de código tiene una puntuación CVSS de 8.8, permitiendo a los atacantes cargar archivos de imagen maliciosos.
- Servidor Microsoft SharePoint (CVE-2024-38023): Una vulnerabilidad de ejecución remota de código con una puntuación CVSS de 7.2, afectando a usuarios autenticados con permisos de «Propietario del Sitio» o superiores.
Análisis Detallado:
- Ejecución Remota de Código (RCE): El tipo de riesgo principal este mes, que comprende el 42% de las vulnerabilidades. Las vulnerabilidades RCE permiten a los atacantes ejecutar código arbitrario en un sistema objetivo, a menudo conduciendo a la toma de control total del sistema.
- Elevación de Privilegios (EoP): Representando el 18% de las vulnerabilidades, las EoP permiten a los atacantes escalar sus privilegios, obteniendo acceso de mayor nivel en los sistemas afectados.
- Bypass de Características de Seguridad: Constituyendo el 17% de las vulnerabilidades, estas permiten a los atacantes eludir las características de seguridad, a menudo conduciendo a una explotación adicional.
Impacto en Productos Específicos:
- Productos Windows: Recibieron la mayor cantidad de parches (87 vulnerabilidades).
- Programa de Actualizaciones de Seguridad Extendida (ESU): Abordó 67 vulnerabilidades.
- Servidor SQL: Afectado por 38 vulnerabilidades, enfatizando la necesidad de priorizalos parches relacionados con SQL debido a su papel crítico en las operaciones empresariales.
Estrategias de Mitigación
Gestión de Parches: CrowdStrike y otras organizaciones de ciberseguridad recomiendan priorizar la aplicación de parches para vulnerabilidades críticas y de día cero.
Sin embargo, no todas las vulnerabilidades tienen parches disponibles, lo que requiere estrategias de mitigación alternativas como la segmentación de red, la lista blanca de aplicaciones y la mejora de la monitorización.