Rodrigo Díaz M.
Aproximadamente una semana después de que millones de sistemas Windows mostraran la pantalla azul de la muerte en todo el mundo, Microsoft ha confirmado la causa raíz del incidente que dejó en tierra miles de vuelos e interrumpió numerosos negocios y servicios públicos.
“Nuestras observaciones confirman el análisis de CrowdStrike de que se trató de un error de seguridad de lectura de memoria fuera de los límites en el controlador CSagent.sys desarrollado por CrowdStrike”, explicó Microsoft en su análisis técnico del accidente publicado el sábado.
El informe señala que el controlador de CrowdStrike era un controlador de filtro de sistema de archivos, que son controladores opcionales que se adjuntan a la pila de software de archivos y son comunes para los agentes anti-malware. Estos controladores son diferentes de los controladores de dispositivos como los controladores de GPU diseñados para una pieza específica de hardware. El servicio de CrowdStrike para computadoras Windows carga cuatro módulos de controladores, pero se culpa a un archivo específico del fallo.
“Podemos ver que el archivo de canal de control versión 291 especificado en el análisis de CrowdStrike también está presente en el fallo, lo que indica que el archivo fue leído”, señala Microsoft, confirmando la afirmación previa de CrowdStrike la semana pasada de que un problema con ese archivo de canal 291 causó el colapso.
Microsoft estimó previamente que 8,5 millones de ordenadores Windows fueron inutilizados por el fallo de CrowdStrike. En su publicación del sábado, Microsoft comunicó que había recibido unos cuatro millones de informes de fallos el 19 de julio (no todos los usuarios están habilitados para recibir informes de fallos).
Aunque es posible que Microsoft quiera restringir aún más el acceso a su núcleo de Windows en el futuro, el gigante tecnológico también explicó por qué permitió a terceros acceder a él en primer lugar. El núcleo de Windows es una capa profunda de su sistema operativo.
La ciberseguridad a nivel de kernel permite a los desarrolladores hacer más para proteger las máquinas, puede funcionar mejor y puede ser más difícil de alterar o desactivar para los actores de amenazas. Cuando una solución de ciberseguridad a nivel de kernel se carga lo antes posible, proporciona a los usuarios la mayor cantidad de datos y contexto posible cuando surgen amenazas.
En el mundo de los videojuegos competitivos, por ejemplo, los sistemas anticheat a nivel de kernel se utilizan a veces para detener a los tramposos que ejecutan programas para añadir un aimbot o alterar la física de sus juegos. Pero las soluciones anticheat a nivel de kernel no siempre funcionan, y sus amplios permisos son un punto de discordia entre algunos jugadores.
