La firma de ciberseguridad CrowdStrike culpó a un problema en su sistema de validación por causar que millones de dispositivos Windows se bloquearan como parte de una interrupción generalizada la semana pasada.
El viernes 19 de julio de 2024 a las 04:09 UTC, como parte de las operaciones regulares, CrowdStrike lanzó una actualización de configuración de contenido para el sensor de Windows para recopilar telemetría sobre posibles técnicas de amenazas novedosas. La actualización problemática resultó en un bloqueo del sistema de Windows.
Los sistemas con Windows que ejecutaban la versión 7.11 en adelante y estaban en línea entre el 19 de julio de 2024, 04:09 UTC y 05:27 UTC y recibieron la actualización se vieron afectados. Apple macOS y los sistemas Linux no se vieron afectados.
CrowdStrike ofrece actualizaciones de configuración de contenido de seguridad de dos maneras, una a través de Sensor Content que se envía con Falcon Sensor y otra a través de Rapid Response Content que permite detectar amenazas novedosas utilizando diversas técnicas de coincidencia de patrones de comportamiento.
El bloqueo se produjo como resultado de una actualización de Rapid Response Content que contenía un error previamente no detectado. Las actualizaciones se entregan en forma de Instancias de Plantilla que corresponden a comportamientos específicos, que se asignan a tipos de plantillas específicos para habilitar nueva telemetría y detección.
«Rapid Response Content proporciona visibilidad y detecciones en el sensor sin requerir cambios en el sensor», explicó la compañía. Estas actualizaciones también son analizadas por el Content Interpreter del sensor Falcon.
La compañía con sede en Texas dijo que ha mejorado sus procesos de prueba y ha mejorado su mecanismo de manejo de errores en el Content Interpreter. También planea implementar una estrategia de implementación escalonada para Rapid Response Content.
Vía The Hacker News
