Microsoft y CrowdStrike refuerzan la seguridad tras un reciente fallo técnico.
Estados Unidos.-Tras una interrupción significativa en el servicio de CrowdStrike, Microsoft proporcionó un análisis técnico detallado de la incidencia, como también indicó que se reforzó la seguridad.
Adicionalmente, ofreció recomendaciones para que clientes y proveedores de seguridad optimicen el uso de las funcionalidades de seguridad de Windows, mejorando así la seguridad y la estabilidad del sistema.
CrowdStrike reveló que la interrupción global fue causada por un problema de seguridad de memoria, específicamente una violación de acceso de lectura fuera de los límites en el controlador CSagent. Microsoft confirmó que csagent.sys, el módulo implicado, se utiliza como un controlador de filtro de sistema de archivos en soluciones antimalware para monitorizar operaciones de archivo, como la descarga de archivos desde internet.
En una actualización en su blog, CrowdStrike explicó que ajustaron la lógica del sensor en la gestión de datos para la creación de canales con nombre. La API de este controlador permite que se notifique al sistema sobre actividades sospechosas, como la creación de canales con nombre, que podría indicar comportamientos malintencionados.
CrowdStrike también mencionó que la versión 291 del archivo del canal de control estaba involucrada en el fallo, y que durante el incidente, se cargaron cuatro módulos de controladores que frecuentemente reciben actualizaciones de contenido y control.
Microsoft, por su parte, destacó su arsenal de herramientas antimalware, incluyendo arranque seguro, integridad de memoria, y Microsoft Defender Antivirus. Además, sugirió prácticas de seguridad como el uso de App Control for Business para establecer políticas que solo permitan aplicaciones verificadas, y la implementación de políticas de integridad de memoria para proteger el núcleo de Windows.
CrowdStrike se disculpó por el impacto causado por el fallo, que aunque afectó solo al 1% de los clientes en plataformas Microsoft, impactó a sectores críticos.
Microsoft continúa su colaboración con entidades de seguridad externas mediante el Microsoft Virus Initiative (MVI), con el fin de mejorar la interacción de los productos de seguridad con la plataforma Windows y compartir estrategias para una protección más efectiva.