HIỆP HỘI AN TOÀN THÔNG TIN VIỆT NAM

‘Tất tần tật’ về CrowdStrike Falcon và sự cố máy tính toàn cầu chưa từng có

Hệ thống máy tính toàn cầu bị ảnh hưởng bởi sự cố kỹ thuật với quy mô và mức độ nghiêm trọng chưa từng có. Tất cả bắt nguồn từ CrowdStrike, gã khổng lồ an ninh mạng nhưng không phải ai cũng biết đến.

Tại Úc và Aotearoa New Zealand, các báo cáo cho thấy máy tính tại ngân hàng, tổ chức truyền thông, bệnh viện, dịch vụ vận tải, quầy thanh toán cửa hàng, sân bay,… trở thành “cục gạch” khi liên tục khởi động lại và gặp lỗi màn hình xanh.

Sự cố ngừng hoạt động trên diện rộng có liên quan đến một phần mềm có tên CrowdStrike Falcon. Nó là gì và tại sao nó lại gây ra sự gián đoạn trên diện rộng như vậy?

Gã khổng lồ an ninh mạng

CrowdStrike là công ty an ninh mạng có trụ sở tại Mỹ với thị phần toàn cầu lớn trên thị trường công nghệ. Falcon là một trong những sản phẩm phần mềm được các tổ chức sử dụng để phòng thủ trước các cuộc tấn công mạng và phần mềm độc hại.

Chức năng của Falcon là “phát hiện và phản hồi điểm cuối” (EDR) – một thuật ngữ an ninh mạng. Cụ thể, nó có chức năng giám sát hệ thống máy tính, tìm kiếm những dấu hiệu bất thường và ngăn chặn mối đe doạ nếu có.

Điều này đồng nghĩa Falcon phải có đặc quyền quản trị để truy cập các hệ thống nội bộ, bao gồm những gói tin gửi qua Internet cũng như các chương trình nào đang chạy, tập tin nào đang mở và chi tiết hơn nữa. Có thể ví Falcon như một phần mềm diệt virus nhưng có sức mạnh gấp bội.

Thông báo về sự cố kỹ thuật của CrowdStrike, công ty cung cấp giải pháp bảo mật Falcon. Ảnh: The Conversation

Trong khi đó, để có quyền khoá những mối đe doạ, Falcon còn được tích hợp sâu vào lõi hệ điều hành mà máy tính đang chạy, trong trường hợp này, đó là Microsoft Windows.

Tại sao Falcon là vấn đề?

Đặc quyền và sự tích hợp sâu này giúp Falcon trở nên mạnh mẽ. Song, đó cũng đồng nghĩa nếu phần mềm này gặp trục trặc, nó sẽ tạo ra những vấn đề nghiêm trọng.

Giới công nghệ cho hay, nguyên nhân gây ra sự cố CNTT diện rộng lần này là do bản cập nhật của Falcon khiến các máy tính Windows 10 gặp sự cố, không thể khởi động lại và dẫn đến hiện tượng “màn hình xanh chết chóc” (BSOD).

“Màn hình xanh” là thuật ngữ chỉ màn hình hiển thị khi các máy tính chạy hệ điều hành của Microsoft gặp sự cố và cần khởi động. Trong trường hợp này, sự cố của Falcon khiến máy tính rơi vào vòng lặp reboot – BSOD liên tục.

Về quy mô, sự cố diện rộng được lý giải bởi CrowdStrike là công ty dẫn đầu thị trường về các giải pháp EDR. Các sản phẩm của họ, chẳng hạn như Falcon rất phổ biến và là lựa chọn hàng đầu của những tổ chức, doanh nghiệp chú trọng đến vấn đề an ninh mạng (và tất nhiên, giá thành cũng không hề rẻ).

Thực tế đã cho thấy nạn nhân của vụ việc bao gồm từ bệnh viện, sân bay, công ty truyền thông, đại học, siêu thị lớn,… Quy mô tác động của sự cố chưa được đong đếm cụ thể nhưng chắc chắn mang tính toàn cầu.

Tại sao máy tính gia đình không bị ảnh hưởng?

Các sản phẩm của CrowdStrike dù phổ biến trong tổ chức, doanh nghiệp nhưng lại ít xuất hiện trong các máy tính gia đình.

Các phần mềm của công ty này thường được thiết kế riêng cho các tổ chức lớn, trong đó tích hợp các công cụ giám sát mạng mạnh mẽ để kịp thời phát hiện dấu hiệu tấn công, đồng thời cung cấp thông tin cần thiết để ứng phó kịp thời.

Trong khi đó, với nhu cầu của người dùng gia đình, một phần mềm chống virus tích hợp hoặc những sản phẩm từ Norton và McAfee là đủ dùng.

Cách thức khắc phục

Ở thời điểm này, CrowdStrike đã cung cấp hướng dẫn thủ công cách thức khắc phục sự cố trên từng máy tính bị ảnh hưởng.

Một trong những cách khắc phục sự cố nhanh chóng có thể được sử dụng là “format” toàn bộ các máy tính bị ảnh hưởng và khôi phục từ các bản sao lưu trước đó.

Ngoài ra, việc “hoàn nguyên”(roll-back) về những phiên bản Falcon cũ hơn cũng có thể giải quyết vấn đề.

Mặc dù CrowdStrike đã phát hành bản cập nhật để sửa phần mềm dẫn đến hàng triệu lỗi “Màn hình xanh chết chóc”, nhưng không phải máy nào cũng có thể tự động nhận được bản sửa lỗi đó. Một số quản trị viên CNTT cho hay, trong những trường hợp cụ thể, cách duy nhất để có thể nhận bản cập nhật cần thiết là khởi động bằng chế độ thủ công “Safe Mode” và xoá tệp cập nhật CrowdStrike bị lỗi trước đó.

Công cụ khôi phục của Microsoft giúp quá trình khôi phục này bớt thủ công hơn, bằng cách khởi động vào môi trường Windows PE qua USB, truy cập vào đĩa của máy bị ảnh hưởng và tự động xóa tệp CrowdStrike có vấn đề, để máy có thể khởi động bình thường.

Quy trình này không yêu cầu chạy “Safe Mode” hay cần quyền quản trị viên, do công cụ chỉ truy cập vào ổ đĩa cứng mà không cần khởi động bản sao của hệ điều hành Windows cục bộ. Nếu ổ đĩa được bảo vệ bằng mã hóa BitLocker, công cụ sẽ nhắc nhập khóa khôi phục BitLocker rồi tiếp tục sửa bản cập nhật CrowdStrike.

Microsoft cũng đưa ra các hướng dẫn khôi phục dành cho người dùng sử dụng máy ảo (Windows-Virtual-Machine) chạy trên đám mây Azure, bên cạnh các bước khôi phục dành cho Windows 10 và Windows 11 trên trang hỗ trợ của hãng.

Theo vietnamnet.vn