Bản cập nhật vội gây sự cố 'màn hình xanh' cho 8,5 triệu thiết bị Windows

Bản cập nhật vội vàng của CrowsStrike nhằm ngăn các nguy cơ tấn công mạng vô tình tạo ra sự cố cho hàng triệu máy Windows khắp thế giới.

"Chúng tôi ước tính bản cập nhật của CrowdStrike ảnh hưởng đến 8.5 triệu thiết bị chạy Windows, tương đương dưới một phần trăm trong tổng số máy Windows toàn cầu", Microsoft thông báo trên blog rạng sáng 21/7. "Dù tỷ lệ nhỏ, tác động kinh tế và xã hội rộng lớn đang phản ánh sự phụ thuộc vào CrowdStrike của các doanh nghiệp vận hành nhiều dịch vụ quan trọng".

CrowdStrike là một trong những công ty bảo mật mạng lớn nhất ngành công nghiệp. Ngày 19/7, bản cập nhật phần mềm Falcon Sensor của công ty, được dùng để bảo vệ cơ sở hạ tầng đám mây Microsoft Azure và máy tính Windows, đã khiến hàng nghìn chuyến bay bị hoãn, đài truyền hình ngừng phát sóng và người dùng không thể truy cập vào các dịch vụ như chăm sóc sức khỏe hay ngân hàng.

Microsoft cho biết CrowdStrike đã phát triển một giải pháp giúp hạ tầng Azure nhanh chóng khắc phục, đồng thời hợp tác với Amazon Web Services và Google Cloud Platform để chia sẻ thông tin về các tác động Microsoft đang gặp phải.

Ngành hàng không đang dần phục hồi sau sự cố. Reuters dẫn lời Delta Air Lines, một trong những hãng bị ảnh hưởng nặng nề nhất, cho biết tính đến 21h ngày 20/7 (giờ Hà Nội), họ đã hủy hơn 600 chuyến bay và dự kiến phải hủy thêm nữa. Tại Việt Nam, Vietjet chiều 19/7 cũng thông báo bị ảnh hưởng dây chuyền do tình trạng hoãn chuyến tại các sân bay khác trên thế giới.

Quầy check-in tại sân bay quốc tế John F. Kennedy kẹt cứng khi máy tính gặp lỗi màn hình xanh. Ảnh: Vox

Bản cập nhật Falcon Sensor gây ra sự cố "màn hình xanh chết chóc" được đánh giá là một trong những vụ gián đoạn kết nối quy mô lớn nhất những năm gần đây.

Falcon Sensor được cho là giúp hệ thống an toàn hơn bằng cách liên tục bổ sung về các mối đe dọa mới. Tuy nhiên trong bản mới chứa những đoạn mã lỗi không được phát hiện trước khi phát hành diện rộng. Reuters dẫn lời Patrick Wardle, chuyên gia nghiên cứu các mối đe dọa đối với hệ điều hành, cho biết mã lỗi "nằm trong một tệp tin chứa thông tin cấu hình hoặc chữ ký". Chữ ký thường chứa thông tin giúp phần mềm bảo mật có thể phát hiện các loại mã độc hay phần mềm độc hại.

"Với mong muốn đảm bảo khách hàng được bảo vệ khỏi các mối đe dọa mới nhất, các sản phẩm bảo mật thường cập nhật chữ ký với tần suất có thể một lần một ngày", Wardle nói, cho rằng đây là lý do CrowdStrike không thử nghiệm kỹ trước khi phát hành.

Các bản cập nhật phần mềm được ví như những loại thuốc chưa được thử nghiệm. Các dòng mã trong đó có thể chứa lỗi, thậm chí xung đột với phần mềm khác, giống như thuốc có thể có tác dụng phụ không mong muốn.

Thông thường, các công ty sẽ dành thời gian kiểm tra, thử nghiệm phần mềm trước khi phát hành cho tất cả. Tuy nhiên trong lĩnh vực bảo mật, các nhà cung cấp dịch vụ phải chạy đua với các mối đe dọa, hoặc chạy đua giữa các công ty với nhau, dẫn đến việc đánh đổi sự an toàn với tính ổn định.

"Các sản phẩm chống virus phải đẩy nhanh nhiều bản cập nhật mỗi ngày, do cần phản hồi càng nhanh với các mối đe dọa càng tốt. Vì vậy việc phải kiểm tra nhiều lần trong ngày trở nên nặng nề", Paul Davis, Giám đốc an toàn thông tin (CISO) nền tảng JFrog, nói với Fortune.

Theo ông, các công ty bảo mật thường kiểm tra chức năng cơ bản của phần mềm, nhưng vẫn cần dựa vào các bản cập nhật tự động, chấp nhận những "rủi ro nằm trong tính toán".

Trong khi đó, CrowdStrike lần này không tính được trước những rủi ro đó. Bản cập nhật tạo nên màn hình xanh chết chóc, ảnh hưởng đến hàng loạt dịch vụ trọng yếu. Dù lỗi đã được xác định và xử lý, việc khắc phục có thể phải được làm thủ công và mất nhiều thời gian.

"Bạn sẽ phải đến từng máy tính, khởi động lại và khi màn hình hiện lên, bạn phải nhấn F3 để vào Chế độ an toàn rồi xóa một tệp nằm ở đâu đó", CISO, một công ty là nạn nhân của sự cố, giải thích.

Để ngăn chặn thảm họa tương tự, John Hammond, nhà nghiên cứu bảo mật tại Huntress Labs, khuyến nghị quy trình là kiểm tra kỹ bản cập nhật hoặc triển khai cho một nhóm hạn chế trước khi áp dụng diện rộng.

Trước CrowdStrike, một sự cố tương tự từ bản cập nhật phần mềm diệt virus của McAfee dính lỗi cũng đã làm hàng trăm nghìn máy tính ngừng hoạt động năm 2010.

Lưu Quý