8,5 triệu thiết bị Windows gặp sự cố vì bản cập nhật vội vàng của CrowsStrike
Bản cập nhật vội vàng của CrowsStrike nhằm ngăn các nguy cơ tấn công mạng vô tình tạo ra sự cố cho hàng triệu máy Windows khắp thế giới.
“Chúng tôi ước tính bản cập nhật của CrowdStrike đã ảnh hưởng đến khoảng 8.5 triệu thiết bị sử dụng Windows, chiếm dưới một phần trăm tổng số máy Windows toàn cầu,” Microsoft chia sẻ trên blog vào sáng ngày 21/7. “Dù tỷ lệ ảnh hưởng nhỏ, tác động kinh tế và xã hội rộng lớn đã phản ánh sự phụ thuộc đáng kể vào CrowdStrike của các doanh nghiệp quản lý nhiều dịch vụ quan trọng.”
Bản cập nhật phần mềm Falcon Sensor của công ty CrowdStrike đã dẫn đến việc hàng nghìn chuyến bay bị hoãn, các đài truyền hình phải ngừng phát sóng và người dùng không thể truy cập vào các dịch vụ thiết yếu như chăm sóc sức khỏe và ngân hàng.
Microsoft cho biết CrowdStrike đã triển khai giải pháp để nhanh chóng khắc phục tình hình trên Azure bằng cách hợp tác với Amazon Web Services và Google Cloud Platform để trao đổi thông tin về các vấn đề mà Microsoft đang đối mặt.
Ngành hàng đang dần hồi phục sau sự cố. Theo Reuters, Delta Air Lines, một trong những hãng hàng không bị ảnh hưởng nặng nề nhất, cho biết tính đến 21h ngày 20/7 (giờ Hà Nội), họ đã hủy hơn 600 chuyến bay và dự kiến sẽ phải hủy thêm nữa. Tại Việt Nam, Vietjet cũng thông báo vào chiều 19/7 rằng họ đã bị ảnh hưởng do tình trạng hoãn chuyến tại các sân bay khác trên thế giới.
Bản cập nhật Falcon Sensor đã gây ra sự cố “màn hình xanh chết chóc,” được coi là một trong những gián đoạn kết nối quy mô lớn nhất trong những năm gần đây.
Falcon Sensor được thiết kế để nâng cao an ninh hệ thống bằng cách liên tục cập nhật các mối đe dọa mới. Tuy nhiên, bản cập nhật lần này chứa mã lỗi không được phát hiện trước khi phát hành rộng rãi. Theo Patrick Wardle, chuyên gia nghiên cứu mối đe dọa hệ điều hành, mã lỗi nằm trong một tệp tin chứa thông tin cấu hình hoặc chữ ký, các yếu tố quan trọng giúp phần mềm bảo mật nhận diện mã độc và phần mềm độc hại.
“Nhằm bảo vệ khách hàng khỏi các mối đe dọa mới nhất, các sản phẩm bảo mật thường cập nhật chữ ký rất thường xuyên, có thể là một lần mỗi ngày,” Wardle giải thích, cho rằng đây là lý do CrowdStrike không thực hiện kiểm tra kỹ lưỡng trước khi phát hành bản cập nhật.
Các bản cập nhật phần mềm có thể được so sánh với các loại thuốc chưa được kiểm nghiệm đầy đủ. Các đoạn mã có thể chứa lỗi hoặc xung đột với phần mềm khác, tương tự như thuốc có thể gây ra tác dụng phụ không mong muốn.
Thông thường, các công ty sẽ dành thời gian kiểm tra, thử nghiệm phần mềm và triển khai trước cho một nhóm nhỏ trước khi phát hành rộng rãi. Tuy nhiên, trong lĩnh vực bảo mật, các nhà cung cấp dịch vụ phải chạy đua với những mối đe dọa hoặc cạnh tranh giữa các công ty với nhau, dẫn đến việc đánh đổi sự an toàn với tính ổn định.
“Các sản phẩm chống virus phải đẩy nhanh nhiều bản cập nhật mỗi ngày để phản ứng nhanh chóng với các mối đe dọa. Vì vậy, việc kiểm tra nhiều lần trong ngày trở nên rất khó khăn,” Paul Davis, Giám đốc An toàn Thông tin (CISO) của nền tảng JFrog, chia sẻ với Fortune.
Theo ông, các công ty bảo mật thường kiểm tra chức năng cơ bản của phần mềm nhưng vẫn phải dựa vào các bản cập nhật tự động và chấp nhận những “rủi ro nằm trong tính toán”.
Trong khi đó, lần này CrowdStrike đã không lường trước được những rủi ro. Bản cập nhật gây ra màn hình xanh chết chóc, ảnh hưởng đến hàng loạt dịch vụ trọng yếu. Mặc dù lỗi đã được xác định và xử lý, việc khắc phục có thể phải thực hiện thủ công và mất nhiều thời gian.
“Bạn sẽ phải đến từng máy tính, khởi động lại và khi màn hình hiện lên, bạn phải nhấn F3 để vào Chế độ an toàn rồi xóa một tệp nằm ở đâu đó,” CISO của một công ty bị ảnh hưởng bởi sự cố giải thích.
Để ngăn chặn thảm họa tương tự, John Hammond, nhà nghiên cứu bảo mật tại Huntress Labs, khuyến nghị quy trình kiểm tra kỹ bản cập nhật hoặc triển khai cho một nhóm hạn chế trước khi áp dụng diện rộng.
Trước CrowdStrike, một sự cố tương tự từ bản cập nhật phần mềm diệt virus của McAfee đã làm hàng trăm nghìn máy tính ngừng hoạt động vào năm 2010.