CrowdStrike, una reconocida empresa de ciberseguridad, ha publicado el análisis de causa raíz de la falla en la actualización del software Falcon Sensor, que paralizó millones de dispositivos Windows a nivel global. El incidente, conocido como el «Archivo de canal 291», fue detallado en una Revisión preliminar posterior al incidente (PIR), revelando un problema de validación de contenido derivado de una nueva plantilla para detectar técnicas de ataque que abusan de las canalizaciones con nombre y otros mecanismos de comunicación entre procesos (IPC) de Windows.
La actualización problemática, implementada en la nube, fue descrita por CrowdStrike como una «confluencia» de varias deficiencias. Según la empresa, el desajuste entre las 21 entradas pasadas al Validador de contenido a través del Tipo de plantilla IPC y las 20 entradas suministradas al Intérprete de contenido no se detectó debido al uso de criterios de coincidencia comodín para la entrada número 21. Este desajuste no se reveló durante el proceso de prueba.
El Archivo de canal 291, lanzado el 19 de julio de 2024, fue la primera versión en utilizar el campo de parámetro de entrada número 21. La falta de un caso de prueba específico para estos criterios sin comodines resultó en la detección del error solo después de que el contenido fuera enviado a los sensores. Los dispositivos afectados experimentaron problemas de lectura fuera de los límites, provocando bloqueos del sistema.
Para solucionar el problema, CrowdStrike implementó medidas como la validación de la cantidad de campos de entrada en el tipo de plantilla durante la compilación del sensor y la adición de controles de límites de matriz de entrada en tiempo de ejecución al intérprete de contenido. Estas soluciones previenen lecturas de memoria fuera de los límites, mejorando la integridad del sistema.
Además, CrowdStrike ha planeado mejoras adicionales en la cobertura de pruebas durante el desarrollo de tipos de plantilla, incluyendo casos de prueba para criterios de coincidencia sin comodines en todos los campos. Entre las modificaciones destacadas, se encuentran nuevas comprobaciones en el Validador de contenido y la actualización del sistema de configuración de contenido con procedimientos de prueba adicionales. La plataforma Falcon también ha sido actualizada para ofrecer a los clientes mayor control sobre la entrega de contenido de respuesta rápida.
De manera proactiva, la empresa ha contratado a dos proveedores de software de seguridad independientes para revisar exhaustivamente el código del sensor Falcon y su proceso de calidad. Asimismo, colaborará con Microsoft para explorar nuevas formas de realizar funciones de seguridad en el espacio del usuario en lugar de depender de un controlador del núcleo.
Este análisis de causa raíz se publica en un contexto de críticas, incluyendo las de Delta Air Lines, que reclama daños y perjuicios a CrowdStrike y Microsoft por las interrupciones masivas y los costos derivados de miles de vuelos cancelados. Ambas empresas han declarado no ser responsables de la interrupción, sugiriendo que los problemas de Delta pueden ser más complejos.
La transparencia de CrowdStrike en la publicación de este análisis y las medidas correctivas implementadas subrayan su compromiso con la seguridad y la confiabilidad, destacando los desafíos continuos en la gestión de actualizaciones de seguridad en sistemas complejos y distribuidos a nivel global.
