Después de CrowdStrike: Microsoft afirma que no puede implementar legalmente las mismas protecciones que Apple.
Impacto del incidente CrowdStrike en Windows PCs
El impacto del incidente de CrowdStrike está viendo a equipos de IT de todo el mundo luchar por restaurar los 8.5 millones de PCs con Windows afectadas por el error. El caos incluyó miles de vuelos cancelados, centros de salud incapaces de programar citas, terminales de pago de comercios fuera de servicio e incluso algunos servicios de emergencia 911 no disponibles.
Microsoft afirma que alrededor de 8.5M de PCs se vieron afectadas
Microsoft publicó una publicación en el blog durante el fin de semana reconociendo la magnitud del problema.
Actualmente estimamos que la actualización de CrowdStrike afectó a 8.5 millones de dispositivos Windows, o menos del uno por ciento de todas las máquinas con Windows. Aunque el porcentaje fue pequeño, los amplios impactos económicos y sociales reflejan el uso de CrowdStrike por parte de empresas que ejecutan muchos servicios críticos.
Algunos han señalado que este porcentaje puede dar una impresión engañosa. Las PCs más críticas son las más propensas a tener instalado CrowdStrike, precisamente porque cualquier problema con esas máquinas tendría consecuencias dramáticas. Por lo tanto, esas 8.5M de máquinas tuvieron un impacto desproporcionado en las operaciones globales de IT.
Explicación parcial de CrowdStrike
CrowdStrike publicó su propia publicación en el blog dando un poco más de información.
El 19 de julio de 2024 a las 04:09 UTC, como parte de las operaciones en curso, CrowdStrike lanzó una actualización de configuración del sensor a los sistemas Windows. Las actualizaciones de configuración del sensor son una parte continua de los mecanismos de protección de la plataforma Falcon. Esta actualización de configuración desencadenó un error lógico que resultó en un bloqueo del sistema y una pantalla azul (BSOD) en los sistemas afectados.
La empresa dice que estas actualizaciones se realizan varias veces al día, pero no ha explicado cómo se lanzó un error que bloqueó las PCs a nivel mundial sin ser detectado en las pruebas.
Las protecciones de Apple evitaron que las Mac se vieran afectadas
No pasó mucho tiempo para comprender cómo una actualización defectuosa de una empresa de terceros podría crear un desastre informático en una escala tan sin precedentes.
Estos programas tienen que tener acceso para inspeccionar el núcleo mismo de los sistemas operativos de las computadoras en busca de defectos de seguridad. Este acceso les da la capacidad de perturbar los mismos sistemas que intentan proteger.
Las Mac no se vieron afectadas porque Apple no permite que las aplicaciones de seguridad tengan acceso a niveles tan profundos del sistema operativo. En cambio, macOS mismo realiza el tipo de monitoreo realizado por CrowdStrike, y luego permite que las aplicaciones de seguridad vean los resultados.
La raíz del problema es que las herramientas de CrowdStrike se ejecutan a niveles muy profundos en Windows. En Mac, no pueden ejecutarse en esos niveles, ya que el Marco de Seguridad de Extremo de Apple es un conjunto moderno de herramientas de API diseñadas para ayudar a los proveedores de seguridad a construir soluciones de seguridad para Mac. Se introdujo en macOS 10.15 Catalina y proporciona un conjunto completo de herramientas y servicios para monitorear y asegurar los puntos finales.
El marco permite a los desarrolladores monitorear varios eventos relacionados con la seguridad, como el acceso al sistema de archivos, la creación de procesos y las conexiones de red. Esto permite el monitoreo en tiempo real de las actividades en una Mac, pero lo hace de una manera que protege la privacidad del usuario y también limita a qué nivel puede llegar.
Microsoft afirma que legalmente no puede hacer esto
El WSJ cita a Microsoft diciendo que un acuerdo con la UE significa que no se le permite bloquear el acceso a niveles bajos de Windows.
Un portavoz de Microsoft dijo que no puede legalmente aislar su sistema operativo de la misma manera que lo hace Apple debido a un entendimiento al que llegó con la Comisión Europea tras una queja. En 2009, Microsoft acordó dar a los fabricantes de software de seguridad el mismo nivel de acceso a Windows que Microsoft obtiene.