El Instituto Nacional de Ciberseguridad (Incibe), entidad dependiente del Ministerio de Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, ha informado sobre un incidente de sistemas de información que está afectando a diferentes organizaciones a nivel mundial. Los primeros logs en los reportes se empiezan a detectar en la red de vigilancia a las 22:20 del pasado jueves 18 de julio.
El problema es generado por una actualización de un componente de ciberseguridad (sensor de antivirus) de la empresa CrowdStrike, que está generando problemas en su interacción con plataformas de Microsoft. Dicha actualización está provocando problemas técnicos en los clientes de Microsoft, donde se está procediendo a realizar la actualización de dicho componente. El problema se refleja en la generación de un pantallazo azul de bloqueo del sistema e impide su correcto funcionamiento.
CrowdStrike está ya aplicando medidas de mitigación y recuperación en los sistemas y clientes afectados, logrando ya levantar varios de estos sistemas. En paralelo están trabajando en una nueva actualización que sustituya la que está dando problemas para no impactar en nuevos servicios.
Las medidas de mitigación y corrección que se están recomendando desde Incibe son las siguientes:
- La actualización de componentes de CrowdStrike que están provocando bucles de pantalla azul.
- Se recomienda no ejecutar la actualización del agente CrowdStrike hasta que esté disponible una solución verificada.
- El archivo de canal defectuoso se ha revertido y desde el fabricante se espera que esto mitigue una mayor expansión. Para los sistemas que ya fallan, algunos se reinician a un estado de funcionamiento normal y se considera que deberían elegir el nuevo archivo del componente que no da problemas frente al que da problemas. Algunos sistemas simplemente fallan en bucle y pueden necesitar una intervención manual.
- Si los sistemas fallan y es por tanto necesaria una intervención manual se está recomendando seguir los siguientes pasos:
- Se debe de iniciar Windows en modo seguro.
- Se debe de acceder al directorio C:\Windows\System32\drivers\CrowdStrike en el Explorador.
- Hacer la búsqueda del archivo “C-00000291*.sys” y eliminarlo.
- Iniciar el sistema normalmente.
El Incibe ha confirmado que está en contacto con las entidades referidas y con los operadores críticos y estratégicos para alertarles y ofrecerles apoyo con la adopción de estas medidas de mitigación.
Si alguna persona o empresa necesita asesoramiento sobre esta cuestión, puede contactar con el servicio Tu Ayuda en Ciberseguridad todos los días del año desde las 8 de la mañana hasta las 11 de la noche a través del teléfono 017 o mediante los canales de WhatsApp (900116117) o Telegram (@INCIBE017), así como a través de formulario.