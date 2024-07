Actualizado el 2024-07-21 0023 UTC

CrowdStrike está ayudando activamente a los clientes afectados por una falla reciente en la actualización de contenido para hosts de Windows. Los hosts Mac y Linux no se ven afectados. El problema ha sido identificado, aislado y se ha implementado una solución. Esto no fue un ciberataque.

Se recomienda a los clientes que consulten el portal de soporte para obtener actualizaciones. También continuaremos brindando la información más reciente aquí y en nuestro blog a medida que esté disponible. Recomendamos que las organizaciones verifiquen que se estén comunicando con los representantes de CrowdStrike a través de canales oficiales.

Aseguramos a nuestros clientes que CrowdStrike está funcionando normalmente y que este problema no afecta nuestros sistemas de plataforma Falcon. Si sus sistemas funcionan normalmente, no habrá ningún impacto en su protección si se instala un sensor Falcon.

Entendemos la gravedad de esta situación y nos disculpamos sinceramente por las molestias y las interrupciones. Nuestro equipo está completamente preparado para garantizar la seguridad y estabilidad de los clientes de CrowdStrike.

Declaración de nuestro CEO

Publicado el 2024-07-19 1930 UTC

Nuestros valiosos clientes y socios,

Me gustaría extender mis más sinceras disculpas a todos ustedes por la interrupción. Todos en CrowdStrike comprenden la gravedad y el impacto de la situación. Rápidamente identificamos el problema e implementamos una solución, lo que nos permitió concentrarnos diligentemente en restaurar los sistemas de los clientes como nuestra principal prioridad.

La interrupción fue causada por un error descubierto en la actualización de contenido de Falcon para hosts de Windows. Los hosts Mac y Linux no se ven afectados. Esto no fue un ciberataque.

Estamos trabajando estrechamente con los clientes y socios afectados para garantizar que todos los sistemas se restablezcan, de modo que usted pueda brindar los servicios en los que confían sus clientes.

CrowdStrike funciona con normalidad y este problema no afecta nuestros sistemas de plataforma Falcon. No hay ningún impacto en ninguna protección si se instala un sensor Falcon. Los servicios Falcon Complete y Falcon OverWatch no están deshabilitados.

Proporcionaremos actualizaciones continuas a través de nuestro portal de soporte en https://supportportal.crowdstrike.com/s/login/.

Hemos movilizado a todo el personal de CrowdStrike para ayudarlo a usted y a su equipo. Si tiene preguntas o necesita soporte adicional, comuníquese con su representante de CrowdStrike o con el soporte técnico.

Sabemos que los adversarios y los actores maliciosos intentarán explotar eventos como este. Insto a todos a que se mantengan atentos y se aseguren de comunicarse con los representantes oficiales de CrowdStrike. Nuestro blog y soporte técnico seguirán siendo los canales oficiales para las últimas actualizaciones.

No hay nada más importante para mí que la confianza que nuestros clientes y socios depositan en CrowdStrike. Mientras trabajamos para resolver este incidente, me comprometo a brindarles total transparencia sobre cómo sucedió y los pasos que estamos tomando para evitar que algo como esto vuelva a suceder.

George Kurtz

Fundador y director ejecutivo de CrowdStrike

Detalles técnicos

Los detalles técnicos de la interrupción se pueden encontrar aquí: Lea el blog Publicado el 2024-07-19 0100 UTC

CrowdStrike identificó el desencadenante de este problema al publicar contenido relacionado con un sensor de Windows y revertimos esos cambios. El contenido es un archivo de canal ubicado en el directorio %WINDIR%\System32\drivers\CrowdStrike.

El archivo de canal «C-00000291*.sys» con una etiqueta de tiempo de 2024-07-19 0527 UTC o posterior es la versión devuelta (buena).



El archivo de canal «C-00000291*.sys» con una etiqueta de tiempo de 2024-07-19 0409 UTC es la versión que tiene un problema.

Nota: Es normal tener varios archivos «C-00000291*.sys» en el directorio de CrowdStrike, siempre y cuando Uno Si un archivo en la carpeta tiene una etiqueta de tiempo de 05:27 UTC o más tarde, este será el contenido activo.

Hosts de Windows que tienen No Los problemas afectados no requieren ninguna acción ya que se ha devuelto el archivo del canal problemático.

Hosts no afectados

Los hosts de Windows conectados a Internet después del 19 de julio de 2024 a las 05:27 UTC no se verán afectados.

Este problema no afecta a los hosts que ejecutan Mac o Linux.

¿Cómo puedo identificar los hosts afectados?

¿Cómo puedo identificar los hosts afectados mediante una consulta de búsqueda avanzada de eventos? Actualizado el 2024-07-21 0023 UTC

Consulte este artículo de la base de conocimientos: Cómo identificar hosts que pueden verse afectados por una falla de Windows (archivo pdf) o Inicie sesión para ver el portal de soporte.

¿Cómo identifico los hosts afectados a través del panel?

Hay disponible un panel que muestra los canales afectados, las ID de los clientes y los sensores afectados. Dependiendo de sus suscripciones, está disponible en el menú de la consola de:

SIEM de próxima generación > Gestión de registros > Panel de control, o;

Investigación > Paneles de control

Lleva el nombre de: Hosts_may_be_affected_by_window_crashes

Nota: El panel no se puede utilizar con el botón En vivo

Si los hosts continúan fallando y no pueden permanecer en línea para recibir la actualización del archivo del canal, es posible seguir los pasos de reparación a continuación.

¿Cómo soluciono hosts únicos?

Reinicie la máquina host para darle la oportunidad de descargar el archivo del canal de retorno. Recomendamos encarecidamente colocar el dispositivo host en una red cableada (en lugar de WiFi) antes de reiniciar, ya que el dispositivo host podrá obtener una conexión a Internet más rápida a través de Ethernet.

Si el host vuelve a fallar al reiniciar, consulte esto Artículo de Microsoft Para conocer los pasos detallados.

Nota: Los hosts cifrados con Bitlocker pueden requerir una clave de recuperación.

¿Cómo recupero las claves de Bitlocker? Actualizado el 2024-07-20 2259 UTC

Cómo recuperar recursos del entorno basado en la nube

Entorno de nube guía Servicios web de Amazon Artículo de AWS cielo azul Artículo de Microsoft JCB (PDF) o Inicie sesión para ver el portal de soporte Entornos de nube pública/virtual Opción 1: ​​​​​​Desconecte el volumen de disco del sistema operativo del servidor virtual afectado

Cree una instantánea o una copia de seguridad del volumen del disco antes de continuar como medida de precaución contra cambios no deseados.

Vincular/montar el volumen a un nuevo servidor virtual

Navegue hasta el directorio %WINDIR%\System32\drivers\CrowdStrike

Seleccione el archivo correspondiente a “C-00000291*.sys” y elimínelo

Desconectar el volumen del nuevo servidor virtual

Vuelva a conectar el volumen persistente al servidor virtual afectado Opcion 2: Volver a la instantánea antes del 2024-07-19 0409 UTC

Información del vendedor externo Actualizado el 2024-07-20 2259 UTC

Recursos adicionales