Interrupción generalizada del servicio de TI debido a la actualización de CrowdStrike
Nota: CISA actualizará esta alerta con más información a medida que esté disponible.
Actualización 9:45 am, EDT, 21 de julio de 2024:
- Microsoft lanzó una herramienta de recuperación que utiliza una unidad USB para arrancar y reparar los sistemas afectados.
- Microsoft también publicó una entrada de blog que proporciona enlaces a varias soluciones de remediación y describe sus acciones en respuesta a la interrupción, que incluyen trabajar con CrowdStrike para acelerar la restauración de los servicios a los sistemas interrumpidos.
- En la publicación del blog, Microsoft estima que la interrupción afectó a 8,5 millones de dispositivos Windows. Microsoft señala que esta cifra representa menos del uno por ciento de todas las máquinas Windows.
Actualización 12:30 pm, EDT, 20 de julio de 2024:
- CrowdStrike continúa brindando actualizaciones guía sobre la interrupción generalizada del servicio de TI que se produjo ayer, incluidas las medidas correctivas para entornos específicos.
- CrowdStrike lanzado detalles técnicos que proporcionan:
- Un resumen técnico de la interrupción y su impacto.
- Información sobre cómo la actualización del archivo de configuración del sensor CrowdStrike Falcon, archivo de canal 291, provocó el error lógico que provocó la interrupción.
- Una discusión del análisis de causa raíz que CrowdStrike está realizando para determinar cómo ocurrió el error lógico.
- Los cibercriminales siguen aprovechando la interrupción del servicio para llevar a cabo actividades maliciosas, incluidos intentos de phishing. CISA sigue trabajando en estrecha colaboración con CrowdStrike y otros socios del sector privado y del gobierno para monitorear activamente cualquier actividad maliciosa emergente.
- Según un nuevo Blog de CrowdStrikeLos actores de amenazas han estado distribuyendo un archivo ZIP malicioso. Esta actividad parece estar dirigida a los clientes de CrowdStrike con sede en América Latina. El blog proporciona indicadores de vulneración y recomendaciones.
Actualización 19 de julio de 2024, 19:30 EDT:
- El Guía de CrowdStrike Se actualiza con orientación adicional sobre los impactos en entornos específicos, por ejemplo, Azure, AWS.
- Para informacion adicional:
- Los actores de amenazas siguen aprovechando la interrupción generalizada del servicio informático para realizar ataques de phishing y otras actividades maliciosas. CISA insta a las organizaciones a asegurarse de contar con medidas de ciberseguridad sólidas para proteger a sus usuarios, activos y datos contra esta actividad.
CISA continúa monitoreando la situación y actualizará esta Alerta para brindar apoyo continuo.
Alerta inicial (11:30 am, EDT, 19 de julio de 2024):
CISA está al tanto de la interrupción generalizada que afecta a los hosts de Microsoft Windows debido a un problema con una actualización reciente de CrowdStrike y está trabajando en estrecha colaboración con CrowdStrike y socios federales, estatales, locales, tribales y territoriales (SLTT), así como con socios internacionales y de infraestructura crítica para evaluar los impactos y respaldar los esfuerzos de remediación. CrowdStrike ha confirmado la interrupción:
- Afecta a sistemas Windows 10 y posteriores.
- No afecta a los hosts Mac y Linux.
- Se debe a la actualización de contenido de CrowdStrike Falcon y no a una actividad cibernética maliciosa.
Según CrowdStrikeSe ha identificado el problema, se ha aislado y se ha implementado una solución. Las organizaciones de clientes de CrowdStrike deben consultar Guía de CrowdStrike y ellos Portal del Cliente para resolver el problema.
Cabe destacar que CISA ha observado que los actores de amenazas se aprovechan de este incidente para realizar phishing y otras actividades maliciosas. CISA insta a las organizaciones y a las personas a permanecer alertas y solo seguir las instrucciones de fuentes legítimas. CISA recomienda a las organizaciones que recuerden a sus empleados que eviten hacer clic en correos electrónicos de phishing o enlaces sospechosos.