Microsoft vuelve sobre el accidente creado por la actualización defectuosa del software CrowdStrike. Tras anunciar una estimación de los 8,5 millones de dispositivos afectados por el fallo informático, los de Redmond han publicado un extenso análisis técnico del incidente. En éste se recogen datos de telemetría y algunas explicaciones que provocaron el fallo de los sistemas Windows.
Según explica la compañía, el fallo en los sistemas fue causado por un problema en el archivo CSagent.sys desarrollado por CrowdStrike. Un error de seguridad de memoria provocado porque el archivo intentaba acceder a un área fuera de la normalmente asignada al proceso concreto. Al descubrir que un archivo inusual quería «leer» porciones indebidas de memoria, Windows se bloqueó, mostrando la clásica pantalla azul.
Microsoft señala en su web de seguridad que este tipo de lecturas erróneas burlan las protecciones de memoria y, aunque poco frecuentes, son potencialmente muy peligrosas para la integridad del sistema.
En su análisis, Microsoft también plantea la cuestión del kernel. Este último es un programa integrado en el sistema operativo, a menudo con el control total de la máquina, creado para supervisar los procesos y proporcionar un acceso seguro y controlado. La posibilidad de que terceros proveedores, como CrowdStrike, accedan al kernel puede aumentar los riesgos de seguridad o tener consecuencias similares a las vividas el 19 de julio.
La empresa tiene previsto reforzar la seguridad de sus productos aplicando estrictas directrices de actualización, minimizando la superficie de ataque mediante la reducción de los controladores del kernel necesarios y maximizando el aislamiento y la protección contra manipulaciones. Además, se tomarán medidas para apoyar plenamente un enfoque de confianza cero. Un modelo de seguridad según el cual toda solicitud de acceso a recursos o servicios, independientemente de su origen, debe ser explícitamente verificada y autorizada antes de ser concedida.
Fuente: Microsoft
