Các bản cập nhật khẩn cấp cho CrowsStrike được thiết kế để ngăn chặn các cuộc tấn công mạng vô tình gây ra sự cố trên hàng triệu máy tính Windows trên toàn thế giới.
“Chúng tôi ước tính rằng bản cập nhật CrowdStrike ảnh hưởng đến 8,5 triệu thiết bị Windows, tương đương chưa đến 1% tổng số thiết bị Windows trên toàn thế giới”, Microsoft thông báo trên blog của mình vào sáng sớm ngày 21/7. “Mặc dù có quy mô nhỏ nhưng tác động kinh tế và xã hội rộng lớn phản ánh sự phụ thuộc vào CrowdStrike của các doanh nghiệp vận hành nhiều dịch vụ quan trọng.”
CrowdStrike là một trong những công ty an ninh mạng lớn nhất trong ngành. Vào ngày 19 tháng 7, bản cập nhật cho phần mềm Falcon Sensor của công ty, được sử dụng để bảo vệ cơ sở hạ tầng đám mây Microsoft Azure và máy tính Windows, đã khiến hàng nghìn chuyến bay bị hoãn, các đài truyền hình ngừng phát sóng và người dùng không thể truy cập các dịch vụ như chăm sóc sức khỏe. hoặc ngân hàng.
Microsoft cho biết CrowdStrike đã phát triển giải pháp giúp cơ sở hạ tầng Azure phục hồi nhanh chóng và đang hợp tác với Amazon Web Services và Google Cloud Platform để chia sẻ thông tin về tác động mà Microsoft đang gặp phải.
Sau sự cố, ngành hàng không đang dần hồi phục. Reuters Delta Air Lines, một trong những hãng hàng không bị ảnh hưởng nặng nề nhất, được dẫn lời cho biết, tính đến 21h (giờ Hà Nội) ngày 20/7, họ đã hủy hơn 600 chuyến bay và dự kiến sẽ hủy thêm nhiều chuyến nữa. Tại Việt Nam, hãng hàng không VietJet Air cũng thông báo chiều 19/7 hãng sẽ bị ảnh hưởng do hoãn chuyến tại các sân bay khác trên thế giới.
Bản cập nhật cảm biến Falcon đã gây ra sự cố “màn hình xanh chết chóc” được coi là một trong những sự cố mất kết nối lớn nhất trong những năm gần đây.
Falcon Sensor được cho là giúp hệ thống an toàn hơn bằng cách liên tục bổ sung các mối đe dọa mới. Tuy nhiên, phiên bản mới chứa mã lỗi không được phát hiện trước khi phát hành rộng rãi. Reuters Patrick Waddell, một chuyên gia về các mối đe dọa hệ điều hành, được trích dẫn nói rằng mã lỗi “nằm trong một tệp chứa thông tin cấu hình hoặc chữ ký”. Chữ ký thường chứa thông tin giúp phần mềm bảo mật phát hiện mã độc hoặc các loại phần mềm độc hại.
“Để đảm bảo khách hàng được bảo vệ trước các mối đe dọa mới nhất, các sản phẩm bảo mật thường cập nhật chữ ký hàng ngày,” Wardle cho biết, trích dẫn việc CrowdStrike thiếu kiểm tra kỹ lưỡng trước khi phát hành.
Cập nhật phần mềm giống như thuốc chưa được thử nghiệm. Các dòng mã bên trong nó có thể chứa lỗi hoặc thậm chí xung đột với phần mềm khác, giống như thuốc có thể có tác dụng phụ không mong muốn.
Thông thường, trước tiên các công ty dành thời gian thử nghiệm, thử nghiệm và triển khai phần mềm cho một nhóm nhỏ trước khi phát hành rộng rãi cho mọi người. Tuy nhiên, trong thế giới bảo mật, các nhà cung cấp dịch vụ phải chạy đua với các mối đe dọa, hoặc các công ty cạnh tranh với nhau, dẫn đến sự đánh đổi giữa bảo mật và ổn định.
“Do nhu cầu ứng phó với các mối đe dọa càng nhanh càng tốt, các sản phẩm diệt virus phải được cập nhật nhiều lần trong ngày. Vì vậy, việc kiểm tra nhiều lần trong ngày sẽ trở nên cồng kềnh”, Paul Davis, giám đốc giám đốc an ninh thông tin (CISO) tại Nền tảng JFrog, đã nói sự giàu có.
Ông cho biết các công ty bảo mật thường kiểm tra chức năng cơ bản của phần mềm nhưng vẫn cần dựa vào các bản cập nhật tự động và chấp nhận “những rủi ro đã được tính toán”.
Trong khi đó, CrowdStrike không tính toán trước những rủi ro đó trong khoảng thời gian này. Bản cập nhật gây ra lỗi màn hình xanh chết chóc, ảnh hưởng đến một loạt dịch vụ quan trọng. Ngay cả khi lỗi được xác định và giải quyết, việc khắc phục có thể cần được thực hiện thủ công và mất một khoảng thời gian đáng kể.
CISO của công ty là nạn nhân của sự cố cho biết: “Bạn phải đến từng máy tính, khởi động lại và khi màn hình xuất hiện, bạn phải nhấn F3 để vào chế độ an toàn rồi xóa các tập tin ở đâu đó”. .
Để ngăn chặn những thảm họa tương tự, John Hammond, nhà nghiên cứu bảo mật tại Huntress Labs, khuyến nghị rằng các bản cập nhật nên được kiểm tra kỹ lưỡng hoặc triển khai cho một nhóm hạn chế trước khi chúng được áp dụng rộng rãi.
CrowdStrike xảy ra sau một sự cố tương tự vào năm 2010 do bản cập nhật phần mềm chống vi-rút McAfee bị lỗi khiến hàng trăm nghìn máy tính bị dừng.
Lữ Quế