Cómo
_
solucionar
_
el
_
fallo
_
de
_
CrowdStrike
_
y
_
Microsoft
_
tras
_
la
_
caída

Tendencias

El 19 de julio se detectó un fallo en la actualización de la plataforma CrowdStrike Falcon, afectando significativamente a los sistemas operativos Windows a nivel global. Este problema ha impactado a diversas empresas e instituciones. La actualización ha provocado BSOD (Blue Screen Of the Death) error de "pantalla azul" quedando los equipos totalmente inoperativos y teniendo que entrar en modo rescate para recuperarlos.

A continuación podéis ver todos los detalles de lo ocurrido, cómo identificar si tus equipos están afectados, y cómo solucionar el problema:

Detalles del problema

Cómo identificar los equipos afectados

Cómo solucionar el error

Solucionar el error en AWS

Solucionar el error en entornos de nube pública o virtual

Preguntas y dudas frecuentes

Detalles del Problema

El fallo se originó en una actualización de la lógica de detección del servicio de Memory Scanning de Falcon, que provocó un uso excesivo del CPU en los sistemas Windows. CrowdStrike ha identificado y revertido la causa, pero los sistemas afectados requieren un reinicio para restaurar la funcionalidad normal.

En el siguiente enlace puedes encontrar toda la información actualizada por el equipo de CrowdStrike en teste Tech Alert: https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19

Contacta con un especialista

Cómo identificar los equipos afectados

Los siguientes equipos son los que se han visto afectados por el fallo de CrowdStrike:

Los hosts que estuvieron en línea antes de las 05:27 UTC pueden estar afectados.
Los hosts que se pongan en línea después de las 05:27 UTC no se verán afectados.
Los hosts con Windows 7 o Windows Server 2008 R2 no están afectados.
Los hosts Mac y Linux no están afectados.

Para los usuarios con el módulo Investigate de CrowdStrike, se puede realizar una consulta avanzada para identificar equipos con la versión afectada:

C-00000291* |in(field="#event_simpleName", values=[AgentOnLine, LFODownloadConfirmation])

| groupBy([aid,ComputerName,LocalIP], function=[max(@timestamp, as=lastSeen), min(@timestamp, as=firstSeen),collect([FileName])], limit=max)

| test(lastSeen < 1721366820000) // 05:27 UTC

| firstSeen:=formatTime(field=firstSeen, format="%Y/%m/%d %H:%M:%S")

| lastSeen:=formatTime(field=lastSeen, format="%Y/%m/%d %H:%M:%S")

| join({#repo=sensor_metadata #data_source_name=aidmaster #data_source_group=aidmaster-api}, field=aid)

Cómo solucionar el error

En Sofistic, hemos actuado con rapidez desde el inicio de este incidente. Nuestro equipo de soporte técnico ha mantenido una comunicación constante con CrowdStrike para solucionar la situación y minimizar los efectos adversos en nuestros clientes. A través de nuestro servicio adicional de asistencia técnica, hemos proporcionado información detallada y apoyo continuo para solucionar el problema en nuestros clientes de forma ágil, asegurando que se sientan respaldados en todo momento.

Los pasos para solucionar el problema incluyen:

Reiniciar los sistemas en Modo Seguro o el Entorno de Recuperación de Windows.
Navegar a la carpeta C:\Windows\System32\drivers\CrowdStrike.
Localizar y eliminar el archivo que coincida con C-00000291*.sys.
Reiniciar los sistemas normalmente.

Esta GPO puede servir para propagarlo de forma automatizada: https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617
Si hay equipos que tengan BitLocker y pidan la clave para entrar en Safe Mode y aplicar el workaround, esta es una posible solución: https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617

Solucionar el error en AWS

Como ha indicado el investigador "Ido Naor en la red social X", si tus máquinas en AWS se han visto afectadas también se puede solucionar, a continuación indicamos los pasos:

Busca la unidad C: en el EBS y crea una instantánea del EBS.
Lanza un nuevo EBS que la use.
Monta en la instancia temporal y accede a la VM temporal para *renombrar* la extensión .sys en la carpeta #Crowdstrike.
Luego siga el desmontaje de EBS.

Solucionar el error en entornos de nube pública o virtual

Desmontar el volumen del disco del servidor virtual afectado.
Crear una instantánea o copia de seguridad del volumen del disco.
Montar el volumen en un nuevo servidor virtual.
Navegar al directorio %WINDIR%\System32\drivers\CrowdStrike.
Eliminar el archivo que coincida con “C-00000291*.sys”.
Desmontar el volumen del nuevo servidor virtual.
Volver a montar el volumen arreglado en el servidor virtual afectado.

Preguntas y dudas frecuentes

¿El fallo ha afectado al servicio de Sofistic?

No, el servicio MDR de Sofistic está 100% operativo en todo momento a pesar de este fallo.

¿Qué actualización es defectuosa?

Parece que la actualización defectuosa se envió alrededor de las 4 a.m. UTC.

¿Existe algún riesgo para las máquinas no afectadas?

No, Crowdstrike confirmó que eliminaron las actualizaciones defectuosas y que no hay riesgo para las máquinas no afectadas.

Soporte continuo y compromiso ante fallos generalizados

Nuestro compromiso es ofrecer un servicio MSSP que trascienda la simple venta de productos. El verdadero valor añadido de Sofistic reside en el soporte continuo y especializado que brindamos, garantizando que nuestros clientes siempre tengan acceso a la asistencia técnica necesaria para enfrentar cualquier incidencia. Agradecemos a CrowdStrike por su agilidad y colaboración en la resolución de este incidente y reafirmamos nuestro compromiso de continuar proporcionando un servicio de ciberseguridad de excelencia.

Contacta con un especialista