Portada! Caida masiva de servidores en la nube (azure) y empresas por culpa de CROWDSTRIKE

GS1fcd9WMAAWagy

Desde varias fuentes reportan problemas con equipos (si, escritorio) y Servidores que funcionan sobre Windows Server, los cuales se vieron afectados por una actualizacion del software CROWDSTRIKE , lo cual provoco que estos quedaran con un estado de BSOD permanente y solo reparable de forma asistida por personal humano (una de las formas es eliminar archivos del programa y reiniciar)

(fuente: TheVerge, SiliconRepublic twitter, etc )

CROWDSTRIKE es una empresa líder en ciberseguridad a nivel mundial. Su EDR Falcon lleva años revolucionado el mercado. Todo el mundo lo quiere en sus sistemas, lo que ha hecho la empresa ha crecido a niveles insospechados.

Falcon se nutre de indicadores de ataque en tiempo real, inteligencia sobre amenazas, distintas tácticas usadas por los adversarios y telemetría enriquecida con datos de toda la empresa, para facilitar detecciones precisas, protección y remediación automática.

El origen del problema de hoy parece ser que se encuentra en la última actualización de CrowdStrike, que además ha afectado a la nube de Microsoft... Y al final todo cae como piezas de domino...

Por ejemplo,CrowStrike habría paralizado Azure, que ha su vez ha repercutido en Navitaire, la plataforma tecnológica de Amadeus, que decenas de aerolíneas a nivel mundial utilizan para gestionar diferentes procesos de sus operaciones. Y así todo...

El mayor problema es que la remediación requiere INTERVENCIÓN HUMANA, ya que los equipos en su gran mayoría están con "pantalla azul de la muerte":



Imagina sistemas instalados en trenes, aviones, miles de equipos de usuarios, portátiles distribuidos por el mundo... Piensa en lo que necesitas para remediar A MANO todo eso... Se va a tardar SEMANAS en recuperar la normalidad total. Sí. Semanas.

La plataforma DownDetector indica problemas en los servicios de Microsoft 365, Microsoft Store, Microsoft Azure, Visa, Banco Santander, Kutxabank, Unicaja, Movistar, Instagram, Spotify, y cientos de grandes empresas...

:

GLOBAL OUTAGES
- Major banks, media, airports and airlines affected by major IT outage
- Payment systems impacted in different parts of the world, including Australia and the UK.
- Australia's government calls for emergency meeting
- Significant disruption to some Microsoft services
- 911 services disrupted in several US states including Alaska, Arizona, Indiana, Minnesota, New Hampshire and Ohio.
- Services at London Stock Exchange disrupted
- Sky News is off air
- Reports the issue relates to problem at global cybersecurity firm Crowdstrike



GS1iT2EXcAAJHkJ


como se corrige:

 
Última modificación por un moderador:

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
Voy a citar el mensaje para preguntar algo relacionado con eso

¿Será que las empresas no optan por Linux debido a que temen que exista poca gente experta en dicho SO y que éstas les hagan un asalto a mano armada cada vez que fallen?¿Será para evitar la "paja" de invertir en capacitación al personal y migración de sistemas?¿Será ambas?
yo creo que a nivel servers hay mas expertos en unix/linux que windows. si bien el core unix es similar, tienen algunas variaciones entre debian , redhat, solaris y todo el resto.

y si, los contratos de soporte son caros. recuerdo que pregunté hace unos años si nos mudábamos a postgresql, de acuerdo al arquitecto de ese entonces salía mas caro.

estaciones de trabajo creo que es muy difícil que se haga la migración a linux por la experiencia al usuario. aunque chrome-os me parece un buen approach para un sistema que podria ser aplicable en terminales de empresas. ahí incluso es mas factible OSX , por amistosidad y compatibilidad de dispositivos (si, 2024 y aun tenemos problemas con linux y dispositivos como impresoras).
 
  • Wow
Reactions: Muf

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.428
El problema de migrar desktop a Linux en la mayoría de los casos se llama excel, con las putas macros.
 

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
El problema de migrar desktop a Linux en la mayoría de los casos se llama excel, con las putas macros.
las macros son los menos. hay un tema de acostumbramiento casi a nivel cultural. nunca olvidaré al jefe de informática de la universidad que dijo ante una visita de la acreditación "el mundo es windows". Todos los laboratorios de colegios y universidades deberian haber estado con alternativas a msoffice. no enseñarles a usar excel, enseñarles a usar una planilla de cálculo.
Microsoft tb aprovechó y sus contratos educativos eran tentadores, por que habia que "iniciarlos en mis sistemas" desde chicos.
Recuerdo una observaciòn similar que hice con Acrobat en el trabajo: ¿pa que diablos pagas acrobat para crear pdf si vas a hacer algo tan charcha como exportar un word a PDF? como el dinero no es de ellos, llegan y pagan.


admito mi ignorancia que tan facil es administrar estaciones linux de forma centralizada , para instalación de software y parches :zippy


Recuerdo hace años me junte con unos amigos y en ese tiempo comparábamos open office con office. uno le gustaba mas word, otro le gustaba mas excel, y otro mas el powerpoint. y como era costo "cero" 🏴‍☠️ no habia barreras de entradas

entiendo que ahora con open document las suite ofimáticas son mas compatibles entre si.
 
  • Wow
Reactions: Muf

Jolo

Gold Member
Se incorporó
30 Abril 2004
Mensajes
2.100
Hoy en día estaciones de trabajo con Linux son mas viables en casos puntuales, ¿porqué? Porque hay muchas más Apps Web para todo.

Muchos puestos de trabajo ya no necesitan aplicaciones de escritorio, porque todo está en Web App.

Y hoy hay hasta Excel Web oficial.

El problema son los puestos de trabajo especializados, en donde hay Software que simplemente debe ser Windows. Mucho Software de diseño gráfico, de especialidad, cálculo, etc. Ni siquiera hay para Mac. Solo Windows.

Y ya he intentado probar 2 en Windows ARM, y no parten.
 

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.428
las macros son los menos. hay un tema de acostumbramiento casi a nivel cultural. nunca olvidaré al jefe de informática de la universidad que dijo ante una visita de la acreditación "el mundo es windows". Todos los laboratorios de colegios y universidades deberian haber estado con alternativas a msoffice. no enseñarles a usar excel, enseñarles a usar una planilla de cálculo.
Microsoft tb aprovechó y sus contratos educativos eran tentadores, por que habia que "iniciarlos en mis sistemas" desde chicos.
Recuerdo una observaciòn similar que hice con Acrobat en el trabajo: ¿pa que diablos pagas acrobat para crear pdf si vas a hacer algo tan charcha como exportar un word a PDF? como el dinero no es de ellos, llegan y pagan.


admito mi ignorancia que tan facil es administrar estaciones linux de forma centralizada , para instalación de software y parches :zippy


Recuerdo hace años me junte con unos amigos y en ese tiempo comparábamos open office con office. uno le gustaba mas word, otro le gustaba mas excel, y otro mas el powerpoint. y como era costo "cero" 🏴‍☠️ no habia barreras de entradas

entiendo que ahora con open document las suite ofimáticas son mas compatibles entre si.
Dime eso a los que pagan remuneraciones con el archivo de previred.

Y si la mayoría de las veces NO NECECITAS execl adobe Word, basta con gsuit, pero sacarle la inercia a la gente es un culazo
 
  • Wow
Reactions: Muf

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
asi es, M$ la hizo de oro no luchando tan firmemente contra la pirateria, mal que mal la gente seguia ingresando a su ecosistema y eso les daba mas margen de mercado y futuros usuarios dependientes de sus soluciones
 

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
¿Será que las empresas no optan por Linux debido a que temen que exista poca gente experta en dicho SO y que éstas les hagan un asalto a mano armada cada vez que fallen?¿Será para evitar la "paja" de invertir en capacitación al personal y migración de sistemas?¿Será ambas?
Si se suma todo Windows es más barato y tiene un mayor numero de partners, y principalmente la costumbre.
 

wurrzag

Ciclista Jipi
Se incorporó
30 Mayo 2006
Mensajes
8.936
Hoy en día estaciones de trabajo con Linux son mas viables en casos puntuales, ¿porqué? Porque hay muchas más Apps Web para todo.

Muchos puestos de trabajo ya no necesitan aplicaciones de escritorio, porque todo está en Web App.

Y hoy hay hasta Excel Web oficial.

El problema son los puestos de trabajo especializados, en donde hay Software que simplemente debe ser Windows. Mucho Software de diseño gráfico, de especialidad, cálculo, etc. Ni siquiera hay para Mac. Solo Windows.

Y ya he intentado probar 2 en Windows ARM, y no parten.
en ¿la ocasión anterior? de windows arm unos cuantos software que no corrian en arm era cosa de copiar unas dlls del sistema a la carpeta de las aplicaciones.
 

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
En todo caso algo así ya había pasado antes, no se alguien lo mencionó pero fue el cagazo de McAfee el 2010/2011 cuando un parche dejaba los pcs sin red y reiniciandose solos.

Afortunadamente no llegabas a tener un BSOD, pero igualmente tenias que ir equipo por equipo arreglando la wea por que no tenían red.

En ese tiempo McAfee estaba en todos lados, asi como CrowdStrike.

La nube recién se estaba gestando en ese momento, pero la wea dejó la caga también.
Asi que eso gente, estamos a un parche sin QA de quedarnos sin nube.
 
Última modificación:

_V

The Hateful Wish
Se incorporó
11 Abril 2008
Mensajes
2.671
Y en todo caso, olvidense de esa mierda de que la solución es Linux.
Mientras los talibanes del software libre sigan haciendo distros y forks por que no les gusta como pone los corchetes el desarrollador original, la wea va a seguir siendo sinónimo de weas a medio terminar.
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Y en todo caso, olvidense de esa mierda de que la solución es Linux.
Mientras los talibanes del software libre sigan haciendo distros y forks por que no les gusta como pone los corchetes el desarrollador original, la wea va a seguir siendo sinónimo de weas a medio terminar.
bueno, aca nadie piensa que la solucion es salir de windows
solo queremos que dejen de concentrar todas sus cosas en pocos proveedores, sobretodo para lo que es el espionaje de los trabajadores
 

rodrigokfw

Gold Member
Se incorporó
19 Octubre 2007
Mensajes
2.616
yo encuentro bueno linux, sobretodo el uso de recursos y la capacidad de poder usar las tecnologías nuevas en pcs viejitos sin la obsolesencia programada de windows.
(por ejemplo última versión de Firefox sobre escritorio mate corriendo en notebooks del 2010)

El problema como decían más arriba es que hay programas que no existen, comenzando por MS Office. Por lo que tenerlo dependerá de para que se usará ese computador. Sobre la curva de aprendizaje, es casi lo mismo que windows y mac.
 

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
bueno, aca nadie piensa que la solucion es salir de windows
solo queremos que dejen de concentrar todas sus cosas en pocos proveedores, sobretodo para lo que es el espionaje de los trabajadores
pucha es dificil, a menos que el regulador intervenga y diga "no, las tres aerolíneas y la mitad de los bancos no pueden estar concentradas en un único datacenter". tomando en consideración la posición dominante de las big 3 en Infraestructura Cloud. si, es un riesgo latente que tengas concentración.

las plataformas EDR (endpoint detect and response) creo que es exagerar tratarlas como de espionaje. en ese caso el proxy corporativo es mas de espionaje.
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
pucha es dificil, a menos que el regulador intervenga y diga "no, las tres aerolíneas y la mitad de los bancos no pueden estar concentradas en un único datacenter". tomando en consideración la posición dominante de las big 3 en Infraestructura Cloud. si, es un riesgo latente que tengas concentración.

las plataformas EDR (endpoint detect and response) creo que es exagerar tratarlas como de espionaje. en ese caso el proxy corporativo es mas de espionaje.
claro, pero en el caso de crowdstrike es su mayor base de uso, el analisis de uso de los equipos por parte de los trabajadores

recuerdas el caso de Trump con mails con gente de Rusia por el que lo estaban investigando ? (no recuerdo el nombre, pero creo que este año o el anterior)
todas las pruebas provinieron desde crowdstrike (el cual concentra la data de sus clientes para analisis cruzados), la cual por lo visto no tiene problemas en hablar con la NSA o el propio FBI

no digo que sea "la mala de la pelicula", pero su concentración de información sensible de multiples empresas, instituciones de salud, aerolineas y quizas hasta gobiernos, es demasiado peligrosa por si misma.




  • "Clientes de CrowdStrike: 44 de 100 empresas Fortune 100, 37 de 100 empresas mundiales importantes, 9 de 20 bancos importantes y 7 de las 10 instituciones energéticas más grandes". Esto lo convierte en un vector de amenaza.
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Actualización 24/07 - Explicación de CrowdStrike


CrowdStrike publicó hoy un PIR (Preliminary Post Incident Review) del incidente para identificar las causas y planificar acciones.

CrowdStrike ofrece actualizaciones de configuración para sus sensores de dos maneras: contenido de sensor ("Sensor Content" - SC) que se envía siempre y directamente al sensor y; el contenido de respuesta rápida ("Rapid Response Content" - RRC) que está diseñado para responder al dinámico panorama de amenazas a la velocidad exigida por las organizaciones.

El SC, que no tuvo que ver con el incidente, siempre forma parte de las actualizaciones y contiene modelos de IA y Machine Learning para mejorar la detección de amenazas en tiempo real. En este caso, los clientes pueden elegir qué versión quieren instalar (N: actual, N - 1 : anterior, etc).

El RRC, por su parte, funciona a través de técnicas estadísticas y heurísticas y analiza patrones de comportamiento. Este archivo se denomina "Template Instances", y es un binario propietario que contiene datos de configuración, no es código ejecutable ni un driver del kernel. Estos archivos son plantillas con comportamientos específicos para que el sensor los observe, detecte o prevenga comportamiento indeseados o maliciosos.

Este sensor contiene 3 sistemas primarios: "Content Configuration System", "Content Interpreter" y "Sensor Detection Engine".

Específicamente el módulo con problemas fue el primero: "Content Configuration System" el cual debe pasar por una serie de verificaciones y validaciones previas al despliegue productivo. Una de las tareas realizadas es pasar por un "Content Validator", que es el responsable de comprobar la integridad de los "Template Instances".


El problema

El día 28 de marzo se desplegó el sensor v7.11 que añadíó un nuevo "IPC Template Type" para detectar vías de ataque novedosas; en este caso una detección proactiva de "Named Pipes". El 5 de marzo, se realizó una prueba de estrés del "IPC Template Type", que resultó exitosa.

Luego de pasar exitosamente todas las pruebas, ese mismo día 5 de marzo, se lanzó el (ya famoso) archivo "Channel File 291". En el periodo del 08 al 24 de abril también se desplegaron exitosamente otras tres "IPC Template Instances".

Basados en todas las pruebas exitosas anteriores, el 19 de julio, se desplegaron dos nuevas "IPC Template Instances". Un error de programación en el "Content Validator" (donde nadie se lo esperaba) no permitió detectar datos inválidos en el "Template Instances" del archivo "C-00000291" y el mismo se desplegó en producción, fue leído y cargado por el "Content Interpreter" y desató el caos de los BSoD en 8,5 millones de equipos.

Cuando el sensor lo recibió y lo cargó en el intérprete, el contenido problemático en el archivo 291 resultó en una lectura de memoria fuera de los límites que desencadenó una excepción (out-of-bounds memory exception). Esta excepción inesperada no se estaba manejando correctamente, lo que provocó la falla del sistema operativo Windows (BSOD).


fuente: https://blog.segu-info.com.ar/2024/07/mala-actualizacion-de-crowdstrike.html

aca hay un hilo con dibujitos:

 
Subir