Error crowdstrike windows a nivel mundial

ekOO
12 1 respuesta
AikonCWD

#384 si usas CS no, ya que pagas un pastizal en licencias para que sea dicha empresa quien corra los test y garanticen seguridad, xd

1
y34hl0ve

#387 #388 Muchas gracias por las respuestas! siempre me ha parecido super interesante todo lo que rodea a sistemas, pero me parece complicado de cojones xD

BuLLeT_AZ

Por una vez el retraso de Renfe ha jugado a su favor. Xd

1
Rayalz

No se poner shorts pero nuestro amigo pirate software nos lo explica muy bien https://www.youtube.com/shorts/4xpTvRAbEfc

2 1 respuesta
garlor

si que testearon bien el parche, he oido decir que era un exempleado de bethesda

1 respuesta
Vandalus

Poner en producción algo a nivel mundial de golpe y encima no creo que haya sido testeado... Despido inmediato del responsable

En mi empresa lo hemos hecho de manera escalonada exactamente para evitar esto, además de tener copias y snapshot para volver atras por si acaso

1 1 respuesta
kroaton

Yo no curré en todo el día porque el ordenador no pasaba de la pantalla azul.

Un compi inició en formato modo seguro y borró el archivo de marras y pa dentro.
A mi en las opciones de la pantalla azul no salía el arrancar en modo seguro. Y ni F4 ni F8 ni hostias.
Saqué el terminal, q eso si me dejaba, pero en esa ruta faltaba la carpeta Crowdstrike.

Yo no sé si en remoto van a poder arreglar los equipos de la gente o nos va a tocar ir al CAU a que los miren 1 a 1.

garlor

para mi el gran problema esta en que los equipos no lleven todos un sistema estilo vpro, o una uefi capaz de conectarse a la red y bajar updates
seria algo tan simple como que todos los equipos estuvieran preparados para bootear por pxe, pones el update por pxe, le dices a todos los empleados que aprieten f12 al arrancar el ordenador y problema solucionado en una hora

1 1 respuesta
Platanium

El día que el mundo sufra un ataque cibernético que dure más de una semana nos vamos al garete

3
allmy

#399 bueno pero eso abre todo un nuevo dominio de cosas que pueden pasar. Como malware que se expande en masa por toda la empresa.

1 respuesta
garlor

#401 no sin llamar por telefono a cada trabajador para decirle que apriete F12 presencialmente

Sust0

#395 Coge un link de un video cualquiera, por ejemplo https://www.youtube.com/watch?v=dNCrpIL2XlY

watch es la acción sobre youtube, después viene una interrogación que viene a indicar que le vas a meter un parámetro, que en este caso es "v" supongo que haciendo referencia a un video y luego un valor igual "=" a la id del video que es "dNCrpIL2XlY".
Con la url de los shorts es parecido solo que se especifica que vas a ver un un short y te manda a la pantalla de cine de los shorts: https://www.youtube.com/shorts/4xpTvRAbEfc
Coge la id del short, en este caso "4xpTvRAbEfc" y cámbiale el id al enlace del video normal

https://www.youtube.com/watch?v=dNCrpIL2XlY -> https://www.youtube.com/watch?v=4xpTvRAbEfc

Y ya puedes linkear en el foro los shorts:

Lo ideal es que el propio foro detectase esto y transformara los enlaces automáticamente pero igual tienen pensado dar soporte a los shorts o algo.

3 1 respuesta
kreigon

Pues otro que relativamente ha acabado por hoy.

Lo mejor es que cambie de IT a otro equipo hace unos meses y me han tenido que llamar para echar un cable.

Menuda puta liada

1 respuesta
Sust0

#404 Por lo que vi, se podía borrar un archivo y arreglarlo y he visto gente con canas que no sabía entrar al modo seguro y por lo tanto viaje a la oficina xD.

1 respuesta
B2MM

le dices a todos los empleados que aprieten f12 al arrancar el ordenador y problema solucionado

Yo ahí solo veo más problemas xd

1
AikonCWD

#396 #397 ya han analizado el fichero y es jn fichero en blanco, todo lleno de 0s. Como coño han testeado eso y ha pasado las pruebas antes de lanzarlo al publico?

2 2 respuestas
kreigon

#405 Si, el fix era ese borrar el archivo. En Cloud tienes que saber operarlo, pero nuestros equipos no sabían hacerlo y nos han metido a los que sabíamos que ni realmente es nuestro departamento. Pero al final la empresa está jodida y el problema en esos momentos es del que pueda ayudar.

También la locura que se genera en estos momentos... Muchas gente nerviosa en empresas grandes

Rinkes

#407
Si no hay test...

2
TripyLSD

#391 buen fake

El launcher de android y un pantallazo de windows deformado para entrar en la pantalla. Ok

2
shortyStyle

#366 Eso es MUY grave

Czhincksx

#403 también tienes la opción que me gusta más a mí:

https://www.youtube.com/shorts/4xpTvRAbEfc

Lo conviertes en:

https://www.youtu.be/4xpTvRAbEfc

VACAXXX

Yo es que llevo windows 7 aun xd

jacare

Vas a cualquier oficina publica y hay retraso generalizado

spoiler
3
aLeX

Pues ya estaría

7 3 respuestas
ArKan0iD

#415

It's possible this could be a plot to move mission-critical code to Rust. It's the only other language Linux is allowing, other than C. But who knows.

Me encanta 😂

Que empiecen las conspiraciones!

1 respuesta
Exor720

#377 Claro, porque tiene mucho que ver que crowdstrike con su antivirus fallase con el SO. No podría ser que un servicio desarrollado para linux fallase. O que metieran una puerta trasera como intentaron hace poco en todas las distros. Es el SO.

1
B

#416 yo me quedo con este tweet

6
nerkaid

Buenas, como algunos sabéis soy responsable de IT y ciberseguridad en una multinacional que da servicio a diferentes clientes, estoy certificado como CCFA de Crowdstrike y he estado desde las 7 y pico de esta mañana que me han llamado (literalmente sacándome de la ducha) liado con esta movida atendiendo a varios clientes, preparando procedimientos y coordinando varios equipos y os cuento un poco como ha sido todo.

Lo primero Microsoft poco o nada ha tenido que ver directamente con el problema, mas que que sus sistemas han sido los que han recibido el fallo, es como echar la culpa al coche si en tu gasolinera en vez de gasolina te echan cocacola y el coche no arranca. Podríamos entrar en si es el mejor diseño de un SO una arquitectura en la que el fallo de un driver puede llevar a una petada de ese nivel pero bueno, eso es otra batalla.

Básicamente el problema ha venido por una update de un driver de Crowdstrike que ha descargado el propio sensor de Crowdstrike (se llama Falcon) de manera automática sin importar la versión de motor que tuviera configurada el cliente. Es decir, yo en mis clientes puedo elegir que funcionen con la ultima versión, penúltima, antepenúltima o una anterior concreta del sensor de Crowdstrike, pero esta update del driver la han tirado por otro canal interno de actualización y le ha aplicado a todo el mundo que tenia el equipo con conexión entre las 4 AM y las 10 AM españolas aprox. sin importar que versión del sensor tuvieran.

Esto es un fallo garrafal porque si permites tanta gestion de qué versión del sensor tienen tus clientes para que puedan probar todo en varias fases o grupos de equipos y evitar incompatibilidades, no tiene sentido que luego te fumes todo ese control de versiones y pases algo tan critico como un driver del sistema por las bravas sin preguntar a nadie. Fallo garrafal y sin sentido de Crowdstrike que no hay por donde cogerlo.

Ahora ¿por que ha sido tan grave? Porque este driver básicamente provocaba el reinicio tanto en Windows como en Windows Server en gran parte de los equipos, y en muchos casos el equipo ya no podía volver a arrancar, normalmente en una liada de esta amplitud se aplica un parche por política a través de la red o internet a los equipos y queda todo solventado pero como los equipos no arrancaban, no recibían ningún tipo de actualización automática, por lo que ha tenido que realizarse un workaround equipo por equipo para recuperar el arranque y por lo tanto la conectividad para poder parchearlos.

El workaround no era una acción muy compleja, solo acceder por terminal en modo seguro o desde el entorno de recuperación de Windows y eliminar un fichero, 2 comandos básicamente, podía dar mas o menos guerra si no se tenían credenciales de administrador del equipo o si el equipo tenia cifrado con Bitlocker y se desconocía la clave, pero con otro par de comandos se modificaba la particion de arranque para arrancar en modo seguro y se podía solucionar. Total que según la empresa esto ha podido derivar en tener que ir equipo por equipo en decenas, cientos, miles de equipos manualmente aplicando una serie de acciones.

Pero aquí no viene lo problemático de verdad, que es que los servidores también se han visto afectados. Según el entorno, se podía aplicar con relativa facilidad el mismo procedimiento que he comentado arriba, tanto en servers físicos por iLO o RBAC o CICM o lo que fuera, como en virtualizados con Hyper-V, VMware, Promox o lo que fuera, el problema de verdad ha venido con los entornos de Cloud. En Azure por ejemplo, tu no puedes ver la pantalla del servidor Windows que virtualizas a modo KVM, solo puedes acceder al mismo por RDP, powershell, ssh, serial port, etc, básicamente métodos que ninguno funciona correctamente si no arranca el equipo, menos serial port que al no arrancar el SO tampoco permitia levantar un terminal cmd y poder hacer algo. Tampoco hay un modo para forzar el arranque seguro de la maquina directamente desde Azure, que habría sido otra solución.

¿Así que como arreglarlo? Pues básicamente, para cada uno de los servidores en Azure afectados ha habido que apagar la maquina, hacer un clon del disco de sistema, montarlo en una nueva maquina virtual que no estuviera afectada, realizar desde ella el workaround en el disco clonado del servidor afectado, y este disco con la modificación ya realizada sustituirlo por el disco de producción de la maquina original afectada, arrancar todo y cruzar los dedos. Este proceso, ha habido empresas que lo han/tienen que hacer aun, en cientos/miles de servidores.

Vaya, que ha sido una liada histórica y para mi laboralmente uno de los días mas complicados de mi vida. Toda la gestion que hemos tenido que organizar de los técnicos, los contactos con los clientes, el desarrollo de las implementaciones de los workaround, coordinar todo con las diferentes sedes a nivel mundial para que los equipos estuvieran listos para el aluvión de incidencias con el follow the sun y supieran como tratarlo… ha sido una jodida locura.

Total que hasta las 8 de la tarde prácticamente no he parado, me he cogido el coche y ahora estoy a 200 km de la oficina escribiendo esto desde el iPad en una casa rural y espero con un poco de suerte no volver a saber mas del tema hasta el lunes.

Espero que os haya resultado entretenida y clara la explicación, no se cuanto se había contado ya o no en el hilo ya que no he tenido tiempo de leerlo por el lio y solo lo he ojeado por encima.

99 10 respuestas
GaLiaNBeaST

#419 Disfruta del merecido descanso este fin de semana XD