El pasado viernes el mundo se despertó con millones de equipos inutilizados. Una actualización de Falcon, el EDR desarrollado por CrowdStrike, puso en jaque a miles de empresas y organismos públicos. Como consecuencia, aeropuertos, bancos o supermercados vieron cómo sus equipos amanecían con la famosa «pantalla azul de la muerte» (BSOD).
Según CrowdStrike el problema estuvo en una actualización lanzada en la madrugada del jueves al viernes, que contenía un archivo de configuración que intentaba acceder a una dirección de memoria utilizada por Windows. Como consecuencia, el sistema operativo mostraba el pantallazo azul «PAGE_FAULT_IN_NONPAGED_AREA».
Solo el 1% de los equipos con Windows se vio afectado por la actualización fallida de CrowdStrike
Numerosos fueron los medios que achacaron este problema a Microsoft o a una actualización de Windows. Sin embargo, viendo las cifras, se puede ver que solo afectó a las empresas que utilizaban CrowdStrike como EDR tanto en sus equipos cliente como en servidores Windows.
Concretamente, Microsoft ha cifrado en 8,5 millones los equipos con Windows afectados en todo el mundo. Teniendo en cuenta que Windows se ejecuta en más de dos mil millones de dispositivos, esta cifra apenas alcanza el 1% de los equipos Windows a nivel mundial.
Tras la fallida actualización, Microsoft ha colaborado con CrowdStrike en el lanzamiento de soluciones, scripts y otras remediaciones para que las empresas pudiesen recuperar la normalidad lo antes posible. Además, los de Redmond han colaborado con Amazon Web Services y Google Cloud Platform para recuperar los servidores y máquinas virtuales con Windows afectados.
A pesar de la cifra, se puede ver cómo la actualización afectó a servicios críticos y consiguió alcanzar un impacto a nivel mundial. Por su parte, CrowdStrike ya ha mitigado el problema y lanzado una actualización para corregir el fallo. Queda por ver si, al no terminar de arrancar, los equipos Windows consiguen recibir esta actualización.
Lo que es inaceptable es que un programa que intente acceder a memoria reservada por/para Windows reviente al Windows mismo, en vez de ser bloqueado por Windows de inmediato. Recuerdo cuando en XP y en W7 salía una pantallita con el programa bloqueado y XP/W7 seguían funcionando sin mayores problemas. Es completamente inaceptable que un programa menor se cargue todo un sistema operativo. Es de locos y seguro que una tonelada de hackers ha tomado buena nota de lo fácil que poner en apuros sin querer media economía mundial.
Solo?