Bản Cập Nhật Lỗi của CrowdStrike Làm Sập 8,5 Triệu Thiết Bị Windows Trên Toàn Cầu
Một bản cập nhật phần mềm thường lệ từ gã khổng lồ an ninh mạng CrowdStrike đã gây ra sự gián đoạn trên diện rộng, ảnh hưởng đến khoảng 8,5 triệu thiết bị Windows trên toàn cầu. Sự cố bắt đầu từ ngày 19 tháng 7 năm 2024 đã có những hậu quả lan rộng trên nhiều ngành công nghiệp, bao gồm hàng không, bệnh viện, bán lẻ và các tổ chức tài chính.
 |
|---|
| Bản cập nhật phần mềm của CrowdStrike gây ra sự cố diện rộng, ảnh hưởng đến hàng triệu thiết bị Windows trên toàn cầu |
Nguyên Nhân của Vấn Đề
Vấn đề xuất phát từ một bản cập nhật lỗi cho cảm biến Falcon của CrowdStrike, một thành phần quan trọng trong nền tảng bảo vệ điểm cuối của họ. Theo phân tích kỹ thuật của CrowdStrike:
- Vấn đề bắt nguồn từ việc cập nhật tệp cấu hình, một phần của cơ chế bảo vệ hành vi của cảm biến Falcon.
- Các Tệp Kênh này thường được cập nhật nhiều lần mỗi ngày để chống lại các mối đe dọa mới.
- Một lỗi logic trong bản cập nhật đã gây ra sự cố hệ thống và màn hình xanh chết chóc nổi tiếng trên các thiết bị Windows bị ảnh hưởng.
Đáng chú ý, bản cập nhật đã được đẩy đến các máy tính bất kể các cài đẽt lẽ ra phải ngăn chặn những cập nhật như vậy, làm trầm trọng thêm quy mô của vấn đề.
Tác Động Rộng Lớn
Microsoft báo cáo rằng mặc dù các thiết bị bị ảnh hưởng chỉ chiếm chưa đến một phần trăm tổng số máy Windows, nhưng tác động là đáng kể:
- Các hãng hàng không lớn, bao gồm Delta, United và American, tạm thời ngừng hoạt động.
- Các bệnh viện buộc phải hủy các ca phẫu thuật đã lên lịch.
- Dịch vụ ứng phó khẩn cấp ở một số thành phố gặp gián đoạn.
- Dịch vụ tin tức của Sàn Giao dịch Chứng khoán London bị sập.
- Sky News ở Vương quốc Anh không thể phát sóng truyền hình trực tiếp.
Phản Ứng và Khôi Phục
Cả CrowdStrike và Microsoft đều đang nỗ lực giải quyết vấn đề:
- CEO CrowdStrike George Kurtz xác nhận rằng các máy chủ Mac và Linux không bị ảnh hưởng.
- David Weston, Phó Chủ tịch về bảo mật doanh nghiệp và hệ điều hành của Microsoft, cho biết công ty đang hợp tác với CrowdStrike để phát triển một giải pháp có thể mở rộng trong cơ sở hạ tầng Azure của Microsoft.
- Hỗ trợ bổ sung đã được tìm kiếm từ Amazon Web Services (AWS) và Google Cloud Platform (GCP) để quản lý và giảm thiểu các tác động.
Mối Lo Ngại về An Ninh
Sau sự cố, những mối đe dọa an ninh mới đã xuất hiện:
- Các tác nhân đe dọa đang khai thác tình huống bằng cách phân phối phần mềm độc hại thông qua một tệp nén ZIP độc hại có tên crowdstrike-hotfix.zip.
- Phần mềm độc hại nhắm vào khách hàng CrowdStrike ở Mỹ Latinh, sử dụng tên tệp và hướng dẫn bằng tiếng Tây Ban Nha.
- Các tên miền giả mạo CrowdStrike cũng đã được phát hiện.
Bài Học cho Các Nhà Lãnh Đạo Công Nghệ
Sự cố này làm nổi bật một số lĩnh vực quan trọng mà các nhà lãnh đạo công nghệ và an ninh cần giải quyết:
- Triển khai tự động hóa cơ sở hạ tầng mạnh mẽ để kiểm soát việc triển khai phần mềm.
- Thường xuyên làm mới và diễn tập các kế hoạch ứng phó sự cố CNTT.
- Đánh giá lại chiến lược rủi ro từ bên thứ ba, tập trung vào nhiều lĩnh vực rủi ro ngoài an ninh mạng.
- Sử dụng hợp đồng như công cụ giảm thiểu rủi ro, bao gồm các điều khoản trách nhiệm cho các sự kiện gây gián đoạn.
Khi cộng đồng công nghệ tiếp tục vật lộn với hậu quả của sự cố này, nó đóng vai trò như một lời nhắc nhở mạnh mẽ về sự mong manh của cơ sở hạ tầng kỹ thuật số kết nối của chúng ta và nhu cầu cảnh giác liên tục trong thực hành an ninh mạng.
Cập nhật: Thứ Tư ngày 24 tháng 7 lúc 15:59
CrowdStrike đã cung cấp một bản sửa lỗi thủ công cho người dùng bị ảnh hưởng đang gặp phải Màn hình Xanh Chết Chóc (BSOD). Bản sửa lỗi bao gồm việc khởi động vào Chế độ An toàn hoặc Môi trường Khôi phục Windows, điều hướng đến C:\Windows\System32\drivers\CrowdStrike, xóa bất kỳ tệp nào khớp với mẫu C-00000291*.sys, và sau đó khởi động lại bình thường. Để ngăn chặn các sự cố tương tự trong tương lai, CrowdStrike đã vạch ra một số bước, bao gồm triển khai chiến lược triển khai theo từng giai đoạn cho Nội dung Phản ứng Nhanh, cải thiện giám sát hiệu suất cảm biến và hệ thống, cung cấp cho khách hàng quyền kiểm soát lớn hơn đối với việc triển khai cập nhật, và cung cấp thông tin cập nhật nội dung chi tiết thông qua ghi chú phát hành có thể đăng ký. Sự cố này cũng đã có tác động đáng kể đến cổ phiếu của CrowdStrike, với báo cáo cho thấy cổ phiếu giảm khoảng 20% trong giao dịch trước giờ mở cửa tại Mỹ.