noticias

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Nuevo informe de sabiduría

Editor: Eneas tiene mucho sueño

[Introducción a la Nueva Sabiduría] Por supuesto, los medios extranjeros acaban de descubrirlo: el director ejecutivo de CrowdStrike, que esta vez provocó el desastre de la pantalla azul de Microsoft, estrelló dispositivos en todo el mundo en la era de Windows XP. Es la misma actualización, también desconecta el dispositivo y también requiere reparación manual. Después de haber causado dos desastres informáticos globales, este hombre puede ser "famosamente recordado en la historia".

¡El incidente global de la pantalla azul de Microsoft ha sido resuelto!

Un error lógico del sistema provocado por el archivo de configuración "C-00000291*.sys" destruyó instantáneamente aproximadamente mil millones de computadoras en todo el mundo y posteriormente desencadenó todos los efectos de segundo y tercer orden.

Como dijo el maestro de IA Karpathy, las fallas instantáneas de un solo punto que todavía existen en el campo técnico causarán enormes peligros ocultos para la sociedad humana.

Los medios extranjeros revelaron que el iniciador de este desastre global de TI, el director ejecutivo de CrowdStrike, tenía antecedentes penales.

En 2010, él fue quien utilizó una actualización de McAfee para bloquear dispositivos en todo el mundo.

Un error lógico provoca un colapso global

Tan pronto como ocurrió la falla, algunos internautas emitieron una advertencia a todos: ¡detengan todas las actualizaciones de CrowdStrike! ¡Detén todas las actualizaciones de CrowdStrike!

En cuanto a la causa del incidente, Patrick Wardle, fundador de la Fundación Objective-See, también llevó a cabo inmediatamente una investigación detallada.

Primero, miró la ubicación del fallo: mov r9d, [r8]. Entre ellos, R8 pertenece a la dirección no asignada.

Esta ubicación se toma de la matriz de punteros (guardada en RAX), el índice RDX (0x14 * 0x8) contiene una dirección de memoria no válida.

Otros "controladores" (como "C-00000291-...32.sys") parecen ser datos confusos y tienen referencia X de "CSAgent.sys".

Por lo tanto, quizás estos datos no válidos (configuración/firma) provocaron el error en CSAgent.sys.

La depuración hace que sea más fácil determinar esto.

Obviamente, la pregunta más importante sin respuesta en el incidente es: ¿qué es exactamente este archivo "C-00000291-...xxx.sys"?

Una vez que CSAgent.sys hace referencia a ellos, falla inmediatamente; al eliminarlos se soluciona el problema.

En VT, también realizó ingeniería inversa en CSAgent.sys, así como en datos de un único volcado de memoria.

Finalmente, Wardle compartió varias versiones de CSAgent.sys (+idb), así como varios archivos "C-....sys" (incluido el último que creía que contenía la "solución").

Dijo que como no tiene ningún sistema Windows ni máquinas virtuales, espera que los internautas puedan seguir investigando.

Ayer mismo, el experto en malware Malware Utkonos descubrió más detalles:

En la dirección 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66, parece haber una verificación mágica de archivos para 0xaaaaaaaa.

Este modo también son los primeros cuatro bytes de "Archivos de canal". Los archivos que son todos NULL pueden hacer que cmp falle.

Como puede ver, ExAllocatePoolWithTagPriority asigna el valor en rcx en comparación con 0xaaaaaaaa en la parte superior. Existe el buffer que recibe los datos leídos por ZwReadFile.

Luego, este valor se pasa a funciones usando cmp (Utkonos nombró estas funciones como llamadas a funciones internas wdm.h en el diagrama).

A través de la verificación de plausibilidad, se puede encontrar que el patrón de bytes 0xaaaaaaaa solo aparece una vez en el desplazamiento 0 del "archivo de canal" marcado aquí.

La siguiente es la dirección para ejecutar algo como cmp.

Como puedes ver, sólo 0xaaaaaaaa se ve diferente.

Explicación oficial de CrowdStrike

Pronto, la explicación publicada por CrowdStrike en su blog oficial aclaró las preguntas que confundían a los internautas——

A las 04:09 UTC del 19 de julio de 2024, CrowdStrike lanzó una actualización de la configuración del sensor para los sistemas Windows durante las operaciones en curso, que también forma parte del mecanismo de protección de la plataforma Falcon. Esta actualización de configuración desencadenó un error lógico que provocó un bloqueo y una pantalla azul de error (BSOD) en los sistemas afectados. La actualización que provocó el fallo del sistema se solucionó el 19 de julio de 2024 a las 05:27 UTC.

Dirección del informe: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Los detalles técnicos son los siguientes:

En los sistemas Windows, el archivo del canal se encuentra en el siguiente directorio: C:WindowsSystem32driversCrowdStrike, y el nombre del archivo comienza con "C-". Cada archivo de canal se identifica con un número único.

El archivo del canal afectado en este incidente es 291 y el nombre del archivo comienza con "C-00000291-" y termina con la extensión .sys. Aunque los archivos de canal terminan con la extensión SYS, no son controladores del kernel.

El archivo de canal 291 afecta la forma en que Falcon evalúa la ejecución de canalización con nombre en sistemas Windows. Estas canalizaciones con nombre son el mecanismo utilizado para la comunicación normal entre procesos o entre sistemas en Windows.

La actualización del viernes estaba destinada a apuntar a canalizaciones con nombre maliciosas recientemente descubiertas utilizadas en marcos C2 que son comunes en los ataques cibernéticos, pero en realidad desencadenó un error lógico en el sistema, lo que provocó una falla.

Sin embargo, esto no tiene nada que ver con problemas de bytes nulos en el archivo de canal 291 o cualquier otro archivo de canal.

Este incidente ha sido convertido en una canción por los internautas que utilizan Suno.

Para recuperar, debe iniciar la máquina en modo seguro, iniciar sesión como administrador local y eliminar el contenido; esto es imposible de automatizar.

Por lo tanto, esta parálisis tiene un impacto tan grande y es difícil recuperarse de ella.

Fue él la última vez también.

CrowdStrike reconoció su error y emitió una disculpa y una resolución el viernes.

Pero aún no han explicado cómo se lanzó la dañina actualización sin pruebas ni otras medidas de seguridad.

Naturalmente, muchas voces críticas comenzaron a centrarse en la figura central del incidente: el director ejecutivo de CrowdStrike, George Kurtz.

El analista de la industria tecnológica Anshel Sag señaló que esta no es la primera vez que Kurtz desempeña un papel importante en un incidente informático importante.

Receta familiar, sabor familiar.

El 21 de abril de 2010, el software antivirus McAfee lanzó una actualización de software para clientes empresariales.

La obtención del software actualizado eliminó un archivo crítico de los sistemas Windows, lo que provocó que millones de computadoras en todo el mundo fallaran y se reiniciaran repetidamente.

Al igual que el error de CrowdStrike, el problema de McAfee también requiere reparación manual (el dispositivo está desconectado y fuera de línea).

Y Kurtz era el director de tecnología de McAfee en ese momento.

En 2012, Kurtz fundó CrowdStrike y se desempeña como director ejecutivo hasta el día de hoy.

¿Qué pasó en 2010?

A las 6 a.m. del 21 de abril de 2010, McAfee lanzó una actualización de definición de virus "problemática" para clientes empresariales.

Luego, estas computadoras con Windows XP actualizadas automáticamente caerán directamente en un ciclo de "reinicio infinito" hasta que llegue el personal de soporte técnico para repararlas manualmente.

La razón detrás de esto es realmente muy simple: después de recibir la nueva definición, el software antivirus identificará un archivo binario normal de Windows "svchost.exe" como el virus "W32/Wecorl.a" y lo destruirá.

Un miembro del personal de TI de la universidad informó que, como resultado, 1200 computadoras en su red estaban caídas.

Otro correo electrónico de una empresa estadounidense decía que había "cientos de usuarios" afectados:

Este problema afecta a una gran cantidad de usuarios y simplemente reemplazar svchost.exe no resuelve el problema. Debe iniciar en modo seguro, instalar el archivo extra.dat y luego ejecutar la consola vsca manualmente. Después de eso, también deberás eliminar los archivos en cuarentena. Cada usuario tiene al menos dos archivos en cuarentena y algunos usuarios tienen hasta 15. Desafortunadamente, al utilizar este método, no puede determinar cuáles de los archivos que recupera son archivos importantes del sistema y cuáles son archivos de virus.

Además, hay un informe de Australia que indica que el 10% de las cajas registradoras de la cadena de supermercados más grande del país quedaron paralizadas, lo que provocó el cierre de entre 14 y 18 tiendas.

El impacto de este incidente en ese momento fue tan grande que todos se maravillaron: "Incluso los piratas informáticos que se centran en el desarrollo de virus probablemente no puedan producir malware que pueda 'derribar' rápidamente tantas máquinas como lo hace McAfee hoy".

La siguiente es la descripción del incidente del SANS Internet Storm Center:

Los archivos "DAT" de la versión 5958 de McAfee están causando una gran cantidad de problemas con Windows XP SP3. Los sistemas afectados entrarán en un ciclo de reinicio y perderán toda la conectividad de red. Este archivo DAT problemático puede infectar estaciones de trabajo individuales, así como estaciones de trabajo conectadas a un dominio. El uso de "ePolicyOrchestrator" para actualizar archivos de definición de virus parece acelerar la propagación de este problemático archivo DAT. ePolicyOrchestrator se utiliza normalmente para actualizar archivos "DAT" en empresas, pero no pudo revocar la firma problemática porque los sistemas afectados perdieron la conectividad de red.

Svchost.exe es uno de los archivos más importantes del sistema Windows. Alberga servicios para casi todas las funciones del sistema. Sin Svchost.exe, Windows no puede iniciarse en absoluto.

Aunque los dos incidentes tienen 14 años de diferencia, comparten el mismo desconcierto: cómo una actualización de este tipo salió del laboratorio de pruebas y llegó al servidor de producción. En teoría, estos problemas deberían descubrirse y resolverse en las primeras etapas del proceso de prueba.

¿Quiénes son?

George Kurtz creció en Parsippany-Troy Hills, Nueva Jersey y asistió a la escuela secundaria Parsippany.

Kurtz dijo que comenzó a programar videojuegos en una computadora Commodore cuando estaba en cuarto grado. En la escuela secundaria, se estableció una de las primeras plataformas de comunicación en línea: el sistema de tablón de anuncios.

Se graduó en contabilidad en la Universidad de Seton Hall.

Más tarde fundó Foundstone y se desempeñó como director de tecnología de McAfee.

Actualmente, George Kurtz se desempeña como director ejecutivo de CrowdStrike, una empresa de ciberseguridad cofundada con Dmitri Alperovitch.

Además de sus logros empresariales, también es piloto de carreras.

Precio Waterhouse y Foundstone

Después de la universidad, Kurtz comenzó su carrera como Contador Público Certificado (CPA) en Price Waterhouse.

En 1993, Price Waterhouse nombró a Kurtz uno de los primeros empleados de su recién formado grupo de seguridad.

En 1999, fue coautor de Hacking Exposed, un libro sobre seguridad de redes para administradores de redes, con Stuart McClure y Joel Scambray. El libro ha vendido más de 600.000 copias y ha sido traducido a más de 30 idiomas.

Más tarde ese año, lanzó Foundstone, una empresa de ciberseguridad que fue una de las primeras en especializarse en consultoría de seguridad. Foundstone se especializa en software y servicios de gestión de vulnerabilidades y ha desarrollado un negocio de respuesta a incidentes ampliamente reconocido que cuenta entre sus clientes con muchas empresas Fortune 100.

McAfee

McAfee adquirió Foundstone por 86 millones de dólares en agosto de 2004 y Kurtz se convirtió en vicepresidente senior y director general de gestión de riesgos de McAfee. Durante su mandato, ayudó a desarrollar la estrategia de gestión de riesgos de seguridad de la empresa.

En octubre de 2009, McAfee lo nombró director de tecnología global y vicepresidente ejecutivo.

Con el tiempo, Kurtz se sintió frustrado por la lentitud de las tecnologías de seguridad existentes porque sentía que no estaban a la altura del ritmo de las nuevas amenazas.

Una de las inspiraciones para la creación de CrowdStrike fue cuando vio a un pasajero sentado a su lado en un avión esperando 15 minutos a que se cargara el software McAfee en su computadora portátil.

Golpe de masas

En noviembre de 2011, Kurtz se unió a la firma de capital privado Warburg Pincus como "emprendedor residente" y comenzó a trabajar en su próximo proyecto, CrowdStrike.

En febrero de 2012, unió fuerzas con el ex director financiero de Foundstone, Gregg Marston, y Dmitri Alperovitch para establecer formalmente CrowdStrike.

CrowdStrike cambia el enfoque de los productos antimalware y antivirus (el enfoque de McAfee hacia la ciberseguridad) a identificar las técnicas utilizadas por los piratas informáticos para detectar amenazas entrantes. Y desarrolló un modelo "primero la nube" para reducir la carga de software en las computadoras de los clientes.

En mayo de 2017, CrowdStrike estaba valorado en más de mil millones de dólares. En 2019, la compañía recaudó 612 millones de dólares en su oferta pública inicial en Nasdaq, valorándola en 6.600 millones de dólares.

En julio de 2020, un informe de IDC nombró a CrowdStrike como el proveedor de software de seguridad para terminales de más rápido crecimiento.

En 2024, Kurtz seguirá siendo presidente y director ejecutivo de CrowdStrike.

Efectivamente, el mundo es sólo un enorme equipo de base.

Referencias:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/