CrowdStrike atribuye la caída global de Windows a un error en control de calidad de la actualización

CrowdStrike, la empresa de ciberseguridad en el centro de las masivas interrupciones informáticas mundiales, atribuyó el colapso a un error en el software de control de calidad que permitió que se enviaran datos erróneos en una actualización a millones de ordenadores con Microsoft Windows.

Alrededor de 8.5 millones de equipos Windows de todo el mundo colapsaron el 19 de julio, obligando a los aeropuertos a interrumpir los vuelos, sacando del aire las emisiones de televisión e interrumpiendo la actividad de bancos, hospitales y la Bolsa de Londres, entre otros. Algunas empresas afectadas, en particular Delta Airlines, siguen teniendo problemas para recuperarse.

CrowdStrike envía rutinariamente actualizaciones de configuración para su producto Falcon Sensor, un paquete de software que monitoriza y protege la computadora del usuario contra amenazas y ataques.

Estas actualizaciones se envían de dos maneras diferentes. Una se denomina «Sensor Content», que actualiza directamente el Falcon Sensor de CrowdStrike y se ejecuta en el nivel más alto de acceso a los recursos del sistema. Por otra parte, existe el «Contenido de respuesta rápida», que actualiza la forma en que ese sensor se comporta para detectar el malware, lo que permite una respuesta rápida a las amenazas cambiantes.

Sin embargo, una actualización de Rapid Response Content que salió la mañana del 19 de julio incluía un archivo roto y se coló a través del software de control de calidad de CrowdStrike.

En su revisión posterior al incidente publicada el 24 de julio, CrowdStrike dijo: «Debido a un error en el Validador de Contenido, una de las dos [actualizaciones] pasó la validación a pesar de contener datos de contenido problemáticos».

La revisión del incidente indica además que, aunque CrowdStrike realiza pruebas automatizadas y manuales sobre el contenido de los sensores, deposita «confianza en las comprobaciones realizadas en el Validador de Contenido» sobre el Contenido de Respuesta Rápida, que hasta ese momento había funcionado sin problemas.

La suposición de que el despliegue del Contenido de Respuesta Rápida no causaría problemas llevó al Sensor Falcon a cargar la actualización problemática. Esto provocó una lectura de memoria fuera de los límites, un tipo de error que se produce cuando un programa intenta leer datos de la memoria que están fuera de los límites de lo que se le permite acceder. Según el informe, esto provocó una excepción que «no pudo gestionarse correctamente, lo que provocó un bloqueo del sistema operativo Windows».

CrowdStrike, una empresa con sede en California, perdió una quinta parte del valor de sus acciones tras el desastre. La firma prometió modificar la forma en que emite actualizaciones de contenido crítico.

En concreto, la compañía dijo que está planeando implementar una «estrategia de despliegue escalonado» para futuras actualizaciones, enviándolas primero a solo un puñado de máquinas antes de un despliegue global. Este método se conoce en la industria como «despliegue canario».

CrowdStrike también «mejorará la gestión de errores existente en el Content Interpreter», que forma parte del Falcon Sensor.

CrowdStrike también prometió utilizar humanos para probar su Contenido de Respuesta Rápida, añadir comprobaciones de validación adicionales al validador de contenido y dar a los clientes la opción de decidir cuándo y dónde se despliegan estas actualizaciones.

«Nada es más importante para mí que la confianza que nuestros clientes y socios han depositado en CrowdStrike», dijo George Kurtz, fundador y director ejecutivo de la compañía, en un comunicado tras las interrupciones. «A medida que resolvemos este incidente, tienen mi compromiso de proporcionar total transparencia sobre cómo ocurrió y los pasos que estamos tomando para evitar que algo así vuelva a suceder».

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí