8,5 triệu máy tính bị sập

Theo Microsoft, bản cập nhật lỗi của CrowdStrike đã gây ra thảm họa công nghệ toàn cầu ảnh hưởng đến 8,5 triệu máy tính Windows vào hôm thứ 6. Microsoft cho biết con số này tương ứng “chưa đến 1% tổng số máy tính Windows” bị ảnh hưởng, tuy nhiên điều đó đủ để gây ra vấn đề cho các nhà bán lẻ, ngân hàng, hãng hàng không và nhiều ngành công nghiệp khác, cũng như tất cả những ai phụ thuộc vào phần mềm của CrowdStrike.

Trong bản phân tích kỹ thuật từ CrowdStrike công bố, công ty giải thích thêm về những gì đã xảy ra và lý do tại sao nhiều hệ thống bị ảnh hưởng cùng lúc. Theo đó, tệp cấu hình mà công ty đặt tên “Channel Files” chính là nguyên nhân gây ra sự cố, bởi đó là một phần của cơ chế bảo vệ hành vi được phần mềm Falcon Sensor của CrowdStrike hoạt động. Nó được cập nhật nhiều lần trong ngày để chống lại các chiến thuật, kỹ thuật và quy trình tấn công mới do CrowdStrike phát hiện. Công ty cho biết đó không phải là một quy trình mới mà đã được áp dụng kể từ khi Falcon Sensor ra đời.

"Màn hình xanh chết chóc" do sự cố lõi phần mềm của CrowdStrike ảnh hưởng đến 8,5 triệu máy tính Windows trên toàn cầu.  (Ảnh: Getty)

CrowdStrike giải thích rằng Channel Files không phải là trình điều khiển nhân hệ thống nhưng chịu trách nhiệm về cách Falcon Sensor đánh giá việc thực thi trên hệ thống Windows. Điều này phù hợp với những phân tích từ các nhà nghiên cứu bảo mật về nguyên nhân gây ra sự cố dựa vào màn hình thông báo lỗi BSOD trên Windows.

Được biết, các hệ thống sử dụng Falcon Sensor cho Windows 7.11 trở lên tải xuống cấu hình cập nhật từ khung giờ 11:09 đến 12:27 ngày 18/7 theo giờ Việt Nam có thể bị sập hệ thống. Hiện tại CrowdStrike đã gửi bản cập nhật mới đến các máy tính nhằm ngăn chặn các bản cập nhật lỗi, bất kể PC đó có bị ảnh hưởng hay không.

CEO George Kurtz, Công ty an ninh mạng CrowdStrike,đơn vị gây ra sự cố lịch sử này - cảnh báo rằng việc khôi phục hoàn toàn có thể mất nhiều tuần dù họ đã đưa ra bản sửa lỗi. CEO Kurtz gửi lời xin lỗi tới mọi tổ chức, doanh nghiệp và những cá nhân đã bị ảnh hưởng bởi sự cố nghiêm trọng này.

4 bước khắc phục

Sau khi xuất hiện sự cố này, Trung tâm Giám sát an toàn không gian mạng quốc gia thuộc Cục An toàn thông tin (Bộ thông tin và Truyền thông) đã đề nghị các đơn vị thực hiện một số việc để đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị mình, góp phần bảo đảm an toàn cho không gian mạng Việt Nam.

Cụ thể, các đơn vị tại Việt Nam cần kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi rủi ro an toàn thông tin kể trên; chủ động theo dõi các thông tin liên quan nhằm thực hiện khắc phục rủi ro trong trường hợp bị ảnh hưởng.

Cùng với đó, các cơ quan, tổ chức, doanh nghiệp tại Việt Nam cũng được khuyến nghị tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Trung tâm Giám sát an toàn không gian mạng quốc gia thuộc Cục An toàn thông tin đã hướng dẫn 4 bước để khắc phục sự cố CrowdStrike, với các thiết bị bị ảnh hưởng, bao gồm: Khởi động lại máy tính và vào chế độ Safe Mode hoặc Windows Recovery Environment; truy cập thư mục ‘C:\Windows\System32\drivers\CrowdStrike’; xóa bỏ các tập tin có định dạng ‘C-00000291*.sys’ (tập tin có định dạng .sys và tên bắt đầu bằng chuỗi C-00000291); khởi động lại máy tính và sử dụng như bình thường.

Cục An toàn thông tin cũng lưu ý, trường hợp cần thiết, các cơ quan, tổ chức và doanh nghiệp có thể liên hệ đầu mối hỗ trợ là Trung tâm Giám sát an toàn không gian mạng quốc gia theo số điện thoại 02432091616 và địa chỉ thư điện tử [email protected].