top of page
Buscar

¿Cómo recuperar su sistema operativo Windows del fallo en CrowdStrike?


Introducción


Una actualización defectuosa del sensor Falcon de CrowdStrike, lanzada el 18 de julio de 2024, ha desencadenado errores de pantalla azul (BSOD) en sistemas Windows a nivel global. Este fallo ha afectado a una variedad de organizaciones, incluyendo aerolíneas, bancos y medios de comunicación, generando graves interrupciones en sus operaciones. En este artículo, abordamos el impacto del fallo y proporcionamos recomendaciones detalladas para recuperar los sistemas afectados y restaurar los servicios.



Detalles del fallo


El 18 de julio de 2024, una actualización errónea del sensor Falcon de CrowdStrike provocó una sobredemanda en los servicios Windows, resultando en una falla global que requiere acciones específicas para su resolución. Los síntomas del fallo incluyen errores de verificación y pantalla azul relacionados con el sensor Falcon.


Detalles adicionales


  • Los hosts de Windows que no se han visto afectados no requieren ninguna acción, ya que el archivo de canal problemático se ha revertido.

  • Los hosts que se conectaron después de las 0527 UTC no se verán afectados.

  • Los hosts que ejecutan Windows 7/2008 R2 y los sistemas basados en Mac o Linux no están afectados.

  • El archivo de canal problemático es "C-00000291*.sys" con una marca de tiempo de 0409 UTC, mientras que la versión revertida es la que tiene una marca de tiempo de 0527 UTC o posterior.


Impacto global


  1. Interrupciones operacionales: Empresas de varios sectores reportaron interrupciones significativas. Las aerolíneas enfrentaron retrasos y cancelaciones de vuelos, los bancos experimentaron problemas en sus sistemas transaccionales, y los medios de comunicación enfrentaron dificultades técnicas que afectaron la transmisión de contenido.

  2. Pérdida de datos: Los errores de pantalla azul llevaron a la pérdida de datos no guardados, afectando tanto información personal como corporativa. La recuperación de datos y la restauración de sistemas se han convertido en procesos complejos y costosos.

  3. Reputación dañada: La confianza en la seguridad y fiabilidad de las soluciones de CrowdStrike se ha visto comprometida, obligando a las organizaciones a reevaluar sus estrategias de ciberseguridad y considerar medidas adicionales para prevenir futuros incidentes.


Recomendaciones de recuperación


1. Actualización del parche

CrowdStrike ha lanzado una versión corregida del parche. Es crucial que las organizaciones actualicen todos sus sistemas con esta versión para evitar futuros errores de pantalla azul.


2. Eliminación manual del controlador defectuoso

Para sistemas afectados, se recomienda:


  • Arrancar Windows en modo seguro o en el entorno de recuperación (presionando F8 durante el inicio de Windows).

  • Colocar el host en una red cableada y utilizar el modo seguro con redes para ayudar a la corrección.

  • Navegar a %WINDIR%\System32\drivers\CrowdStrike.

  • Localizar y eliminar el archivo "C-00000291*.sys" con la marca de tiempo de 0409 UTC.

  • Reiniciar el host normalmente. Para hosts cifrados con Bitlocker, se requerirá una clave de recuperación.


3. Restauración del sistema

Si la eliminación manual no es viable, se recomienda utilizar puntos de restauración del sistema para revertir a un estado anterior a la instalación del parche defectuoso.


4. Soluciones alternativas para la nube y entornos virtuales

Opción 1:

  • Desconectar el volumen de disco del sistema operativo del servidor virtual afectado.

  • Crear un estado de recuperación o copia de seguridad del volumen.

  • Adjuntar el volumen a un nuevo servidor virtual.

  • Navegar a %WINDIR%\System32\drivers\CrowdStrike y eliminar el archivo "C-00000291*.sys" .

  • Reconnectar el volumen al servidor virtual afectado.


Opción 2:

Revertir a un estado anterior a las 0409 UTC.


5. Solución alternativa en Azure


  • Iniciar sesión en la consola de Azure y seleccionar la VM afectada.

  • Acceder a la Consola Serie y ejecutar comandos para configurar el arranque seguro.

  • Utilizar el comando bcdedit para configurar el arranque en modo seguro y revertir los cambios después de la corrección.

  • Reinicie la VM.


6. Solución automatizada mediante Directiva de Grupo

Se puede configurar un GPO para ejecutar un script durante el modo seguro:


Creación del Script de PowerShell:

# This script deletes the problematic CrowdStrike driver file causing BSODs and reverts Safe Mode

$filePath = "C:\Windows\System32\drivers\C-
00000291*.sys"
$files = Get-ChildItem -Path $filePath -ErrorAction
SilentlyContinue

foreach ($file in $files) {
	try {
		Remove-Item -Path $file.FullName -Force
		Write-Output "Deleted: $($file.FullName)"
	} catch {
	Write-Output "Failed to delete: $($file.FullName)"
	}
}

# Revert Safe Mode Boot after Fix
bcdedit /deletevalue {current} safeboot

Creación del GPO:

Crear un GPO para aplicar el script de eliminación y configurar el arranque en modo seguro.



Conclusión


El incidente con la actualización defectuosa de CrowdStrike resalta la necesidad de una postura de seguridad proactiva y resiliente. Las organizaciones deben tomar medidas inmediatas para mitigar el impacto y reforzar sus defensas contra futuras amenazas.


En DeltaWits, estamos comprometidos a brindar el apoyo necesario para superar estos desafíos y mantener la continuidad operativa y la confianza en los sistemas de seguridad.

 
 
 

Entradas recientes

Ver todo

Comments

bottom of page