Un error en la solución de seguridad de punto final Carbon Black de VMWare bloqueó numerosos servidores empresariales (se abre en una pestaña nueva) y estaciones de trabajo (se abre en una pestaña nueva)ha confirmado la compañía.
Hasta el momento, más de 50 organizaciones han informado haber experimentado la pantalla azul de la muerte (BSOD) y sospechan que Carbon Black es el núcleo del problema.
La raíz del problema parece ser un conjunto de reglas que VMware implementó en la solución a principios de esta semana, en su Cloud Sensor. El conjunto de reglas, 3.6.0.1979 – 3.8.0.398 es lo que parece haber causado los bloqueos. Aparentemente, los usuarios que ejecutan Windows 10 x64, Server 2012 R2 x64 y Server 2019 x64 se vieron afectados.
Conflicto
«VMware Carbon Black está al tanto de un problema que afecta a un número limitado de terminales de clientes, donde ciertas versiones anteriores de sensores se vieron afectadas por una actualización de nuestras capacidades preventivas de comportamiento», dijo la compañía en un comunicado. «El problema ha sido identificado y corregido, y VMware Carbon Black está trabajando con los clientes afectados».
Una investigación más profunda descubrió un conflicto entre Carbon Black y el paquete de firma AV 8.19.22.224.
Después de publicar un aviso de seguridad, VMware explicó cómo «se implementó un conjunto de reglas de investigación de amenazas actualizado en Prod01, Prod02, ProdEU, ProdSYD y ProdNRT después de que las pruebas internas no mostraron signos de problemas». Desde entonces, el conjunto de reglas se ha revertido y actualmente se está realizando un análisis más profundo, se agregó.
Para las organizaciones que no pueden esperar por una solución, VMware recomendó poner los sensores en modo Bypass a través de Carbon Black Cloud Console, ya que eso permite a los usuarios iniciar los dispositivos y revertir el conjunto de reglas roto.
Sin embargo, la solución no parece funcionar para todos. Casi 24 horas después, un usuario comentó «todavía afectado: alrededor de una docena de puntos finales (se abre en una pestaña nueva) no se han recuperado, las manos parecen atadas”, y agregó que se aplicó el bypass. “Reinicie en modo seguro con funciones de red y espere un período de %tiempo indefinido%. Reinicie y vea si está arreglado. Algunos son – algunos no lo son. Repita y vuelva a intentarlo”.
Vía: BleepingComputer (se abre en una pestaña nueva)