Ciudad de México,
Axel Olivares
Crédito foto: Sergio F Cara (NotiPress/Composición)
Luego de la reciente interrupción del servicio de CrowdStrike, Microsoft ofreció una explicación técnica de lo que ocurrió. Además, sugirió cómo los clientes y los proveedores de seguridad pueden aprovechar mejor las capacidades de seguridad integradas de Windows para lograr una mayor seguridad y confiabilidad.
CrowdStrike indicó, la causa principal de la interrupción global sufrida por el sistema. Explicó, esta se debió a un problema de seguridad de la memoria, específicamente una violación de acceso de lectura fuera de los límites en el controlador CSagent. Microsoft también confirmó que este módulo csagent.sys está registrado como un controlador de filtro del sistema de archivos que los software antimalware suelen utilizar para recibir notificaciones sobre operaciones con archivos en la creación o modificación de un archivo. Los productos de seguridad suelen utilizar este módulo para escanear cualquier archivo nuevo guardado en el disco, como la descarga de un archivo a través del navegador.
En su blog, CrowdStrike indicó que parte de su actualización de contenido estaba cambiando la lógica del sensor relacionada con los datos sobre la creación de la canalización con nombre. La interfaz de programación de aplicaciones (API) del controlador del filtro del sistema de archivos permite, el controlador reciba una llamada cuando se produce una actividad de canalización con nombre. Por ejemplo, la creación de canalización con nombre en el sistema podría permitir la detección de un comportamiento malicioso.
La función general del controlador se correlaciona con la información compartida por CrowdStrike. En este sentido, la versión 291 del archivo del canal de control especificada en el análisis de CrowdStrike también está presente en el fallo, lo cual marca que se leyó el archivo. El análisis indica que CrowdStrike cargó cuatro módulos de controladores. Uno de esos módulos recibe actualizaciones de contenido y control dinámico con frecuencia basado en el cronograma de revisión preliminar posterior al incidente de CrowdStrike.
No obstante, luego de la interrupción de los sistemas, Microsoft aseguró que cuenta con una serie de herramientas antimalware. Entre ellas, menciona: arranque seguro, arranque medido, integridad de la memoria, lista de bloqueo de controladores vulnerables, la autoridad de seguridad local protegida y Microsoft Defender Antivirus.
Además, Microsoft ofreció una serie de consejos en concordancia con sus aplicaciones. Entre ellos:
Por su parte, CrowdStrike pidió disculpas a los usuarios por el catastrófico BSOD (pantalla azul de la muerte) varios días más tarde. Pese a que la afectación fue del 1% de clientes con plataforma Microsoft, la situación afectó a industrias de alto impacto.
Frente a las circunstancias ocurridas Microsoft sigue colaborando con proveedores de seguridad externos a través de un foro del sector denominado Microsoft Virus Initiative (MVI). Este grupo se creó con el objetivo de establecer un diálogo y una colaboración en todo el ecosistema de seguridad de Microsoft Windows para mejorar la solidez en la forma en que los productos de seguridad utilizan la plataforma. A través de MVI, Microsoft y los proveedores colaboran en la plataforma Windows para definir puntos de extensión fiables y mejoras de la plataforma, así también para compartir información sobre cómo proteger mejor a los clientes.