Theo Microsoft bản cập nhật lỗi của CrowdStrike đã gây ra một sự cố công nghệ toàn cầu, ảnh hưởng đến 8,5 triệu thiết bị Windows vào ngày thứ 6 vừa qua. Hãng cũng cho biết đó là “dưới một phần trăm tổng số thiết bị chạy Windows” nhưng nhiêu đó là cũng đủ để các nhà bán lẻ, ngân hàng, hãng hàng không và nhiều ngành công nghiệp khác điêu đứng vì sự cố này của CrowdStrike.
Ngoài ra, bản phân tích kỹ thuật từ CrowdStrike phát hành vào thứ Sáu giải thích thêm về những gì đã xảy ra và tại sao nhiều hệ thống bị ảnh hưởng cùng một lúc. CrowdStrike đã giải thích rằng tập tin cấu hình là nguyên nhân chính của vấn đề. Các tập tin cấu hình được đề cập ở trên được gọi là “Channel Files” và là một phần của cơ chế bảo vệ hành vi được sử dụng bởi cảm biến Falcon.
Các bản cập nhật cho Channel Files là một phần bình thường của hoạt động của cảm biến và xảy ra vài lần một ngày để phản ứng với các kỹ thuật và quy trình mới được CrowdStrike phát hiện. Đây không phải là một quy trình mới; kiến trúc này đã tồn tại từ khi Falcon ra đời.
CrowdStrike giải thích rằng tập tin không phải là trình điều khiển nhân (kernel driver) nhưng chịu trách nhiệm cho “cách Falcon đánh giá thực thi named pipe trên các hệ thống Windows.” Nhà nghiên cứu bảo mật và người sáng lập Objective See, Patrick Wardle, cho biết lời giải thích này phù hợp với phân tích trước đó của anh và những người khác về nguyên nhân gây ra sự cố, khi tập tin vấn đề “C-00000291-” đã kích hoạt lỗi logic dẫn đến sự cố hệ điều hành (thông qua CSAgent.sys).
Vào ngày 19 tháng 7, CrowdStrike đã phát hành một bản cập nhật cấu hình cảm biến cho các hệ thống Windows. Các bản cập nhật cấu hình cảm biến là một phần của cơ chế bảo vệ nền tảng Falcon. Bản cập nhật cấu hình này đã kích hoạt lỗi logic dẫn đến sự cố hệ thống và khiến cho “màn hình xanh, đi muôn nơi” trên các hệ thống bị ảnh hưởng.
Các hệ thống chạy cảm biến Falcon cho Windows 7.11 trở lên đã tải xuống cấu hình cập nhật từ 04:09 UTC đến 05:27 UTC – có nguy cơ bị sự cố hệ thống.
Wardle lưu ý rằng các bản cập nhật file channel của CrowdStrike đã được đẩy lên máy tính bất kể bất kỳ cài đặt nào được thiết lập để ngăn chặn các bản cập nhật tự động như vậy.
Để lại một bình luận