Tecnolog��a

Revertir el problema de CrowdStrike y Microsoft supondr�� un coste incalculable para las empresas

El problema del parche corrupto de CrowdStrike que afecta a m��quinas que utilizan Windows tiene soluci��n aunque esta no es automatizable, lo cual redunda en m��s problemas.

Actualizado a 19 de julio de 2024 12:39 CEST

El 19 de julio de 2024 ser�� recordado por muchos administradores de sistemas de todo el mundo como uno de los d��as m��s fat��dicos de la historia reciente a nivel econ��mico debido al problema de CrowdStrike en entornos de Microsoft en empresas. Un parche corrupto ha provocado que millones de m��quinas que usan Windows en todo el globo queden inservibles, y aunque este fallo grave tiene soluci��n, esta no es automatizable, de modo que requiere de una inversi��n de mano de obra y capital considerable a la que hay que sumar las p��rdidas ocasionadas a cada segundo.

La soluci��n del problema de CrowdStrike y Microsoft es tan laboriosa como costosa

A grandes rasgos, el problema de CrowdStrike consiste en que esta firma de ciberseguridad ha subido una actualizaci��n con un formato no v��lido, que provoca que los aparatos que usan Windows como sistema operativo que se actualizaron autom��ticamente se cuelguen. Tras esto, se quedan atascados en las pantallas azules relativas al entorno de recuperaci��n de Windows, de las que les es imposible salir debido al parche corrupto.

Millones de m��quinas que usan Windows a lo largo de todo el mundo se ven afectadas por el problema de CrowdStrike

Kevin Beaumont, ingeniero de sistemas, comenta en su cuenta de X que la soluci��n va a tener un coste incalculable para las compa?��as por una raz��n principal: no es automatizable, ya que consiste en que un trabajador deba ir aparato a aparato corrigiendo manualmente el fallo.

To explain that recovery point - you have to go to a server or PC, boot it in safe mode at the console, log in as admin, then basically hack the system to get it back online. You can't automate that.. so this is going to be incredibly painful for Crowdstrike customers.
— Kevin Beaumont (@GossiTheDog) July 19, 2024

��CrowdStrike es el mejor producto de respuesta y detecci��n de problemas en los endpoints, y est�� presente en pr��cticamente todo como puntos de venta, cajeros, etc. Seguramente este sea el mayor ciber-incidente de todos los tiempos en t��rminos de impacto. Para explicar el proceso de recuperaci��n: tienes que ir a un servidor o PC afectado, iniciarlo en modo seguro y b��sicamente hackear el sistema para que vuelva a estar operativo. No se puede automatizar esto, por lo que va a ser incre��blemente doloroso para los clientes de CrowdStrike��, comentaba Beaumont.

Aunque CrowdStrike ya revirti�� la actualizaci��n corrupta, las m��quinas afectadas contin��an sin servicio y la ��nica forma de hacer que vuelvan a estar operativas es el proceso detallado por Beaumont: un t��cnico especializado debe ir aparato a aparato para solucionar el problema en cada terminal en concreto.

Aparatos como cajeros autom��ticos, ordenadores o m��quinas expendedoras han sido afectados por este problema con una actualizaci��n autom��tica de seguridad

Se trata por tanto, de un proceso que requiere una inversi��n de tiempo y dinero adicionales a las p��rdidas ya ocasionadas por el fallo en estos sistemas. Adem��s, otras compa?��as no afectadas de forma directa tambi��n pueden estarlo de forma indirecta debido a que tambi��n supone un grave problema a nivel log��stico, afectando a la cadena de suministros mundial.

Este problema generalizado ha tenido repercusiones inmediatas para la propia CrowdStrike, que ha visto c��mo sus acciones de han desplomado en bolsa un 20%.

CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We��
— George Kurtz (@George_Kurtz) July 19, 2024

George Kurtz, CEO de CrowdStrike, a?ade que el problema solo afecta a m��quinas que usan Windows y no a las que utilizan Mac o Linux. Tambi��n confirma que no se trata de un incidente de seguridad o de un ciberataque, sino que confirma que el problema se deriva de un problema al lanzar una actualizaci��n de seguridad.

La soluci��n al problema de CrowdStrike y Microsoft que debe implementarse de manera manual

Como comentamos m��s arriba, el problema derivado del parche corrupto de CrowdStrike en aparatos que utilizan Windows ��el sistema operativo de Microsoft�� tiene soluci��n. Ahora bien, el principal inconveniente que tiene implementar esta soluci��n es que debe hacerse de forma manual, lo cual es un proceso muy laborioso y que debe hacerse de forma concienzuda.

Windows, pantalla azul — La actualizaci��n corrupta de CrowdStrike provoca que las m��quinas afectadas queden atrapadas en bucles de reinicio, impidiendo su uso normal

La soluci��n concreta es borrar un archivo de cada m��quina afectada relativo a la actualizaci��n corrupta. Esto es lo que hay que hacer, paso a paso:

Iniciar Windows en Modo Seguro o en el Entorno de Recuperaci��n de Windows.
Acceder al directorio C:\Windows\System32\drivers\CrowdStrike.
Localizar el archivo ��C-00000291*.sys�� y borrarlo.
Iniciar el equipo de la forma habitual.

Esto eliminar�� el parche corrupto de cada sistema afectado, lo cual deber��a hacer que funcione con normalidad. Eso s��: estos archivos suelen estar cifrados por BitLocker, por lo que se necesitan las contrase?as pertinentes para acceder a ellos, t��picamente solo confiadas al personal de IT de las empresas.