CrowdStrike là sự cố IT lớn nhất trong lịch sử, gây thiệt hại hơn 5 tỷ đô la

Nhà nghiên cứu an ninh mạng Troy Hunt – người điều hành trang web HaveIBeenPwned – đã dự đoán rằng sự cố CrowdStrike sẽ lập kỷ lục là sự cố IT lớn nhất trong lịch sử và các con số dường như ủng hộ ý kiến của ông.

CrowdStrike là sự cố IT lớn nhất trong lịch sử, gây thiệt hại hơn 5 tỷ đô la

Công ty an ninh mạng Parametrix đã đưa ra một số ước tính về chi phí thiệt hại do sự cố, trong đó các công ty chăm sóc sức khỏe chịu ảnh hưởng nặng nề nhất và những hãng hàng không cũng không kém cạnh…

Axios đưa tin ước tính của Parametric rằng tổng chi phí thiệt hại chỉ tính riêng cho các công ty Fortune 500 là 5,4 tỷ đô la.

Tất cả các hãng hàng không Fortune 500, cùng khoảng 75% các tổ chức chăm sóc sức khỏe và ngân hàng hàng đầu đều bị ảnh hưởng bởi sự cố ngừng hoạt động. Parametrix ước tính rằng tổng thiệt hại rên toàn bộ Fortune 500 nằm trong khoảng từ 540 triệu đô la đến 1,08 tỷ đô la.

Ngành chăm sóc sức khỏe chịu thiệt hại lớn nhất, mất khoảng 1,9 tỷ đô la do sự cốn. Trong khi đó, các hãng hàng không mất khoảng 860 triệu đô la, theo phân tích của Parametrix.

Thật trớ trêu, ngành IT ít bị ảnh hưởng nhất vì hầu hết các nhà phát triển đều chạy hệ thống của họ trên Linux.

Tổng giám đốc điều hành CrowdStrike George Kurtz cho biết 97% máy bị ảnh hưởng hiện đã hoạt động trở lại.

Tôi muốn chia sẻ rằng tính đến ngày 25 tháng 7, hơn 97% máy tính Windows đã hoạt động trở lại. Tiến trình này là nhờ những nỗ lực không ngừng nghỉ của khách hàng, đối tác và sự tận tụy của đội ngũ tại CrowdStrike. Tuy nhiên, chúng tôi hiểu rằng công việc của mình vẫn chưa hoàn tất và vẫn cam kết khôi phục mọi hệ thống bị ảnh hưởng.

Đối với những khách hàng vẫn bị ảnh hưởng, chúng tôi sẽ không nghỉ ngơi cho đến khi phục hồi hoàn toàn mọi thứ. Tại CrowdStrike, sứ mệnh của chúng tôi là giành được sự tin tưởng bằng cách bảo vệ hoạt động của bạn. Tôi vô cùng tiếc vì sự gián đoạn này và muốn đích thân gửi lời xin lỗi tới tất cả những người bị ảnh hưởng.

Ngoài ra, công ty còn quyết định cung cấp phiếu mua hàng Uber Eats trị giá 10$ cho khách hàng của mình.

Bản cập nhật lỗi của CrowdStrike đã gây ra sự cố cho 8,5 triệu thiết bị Windows

Theo Microsoft bản cập nhật lỗi của CrowdStrike đã gây ra một sự cố công nghệ toàn cầu, ảnh hưởng đến 8,5 triệu thiết bị Windows vào ngày thứ 6 vừa qua. Hãng cũng cho biết đó là "dưới một phần trăm tổng số thiết bị chạy Windows" nhưng nhiêu đó là cũng đủ để các nhà bán lẻ, ngân hàng, hãng hàng không và nhiều ngành công nghiệp khác điêu đứng vì sự cố này của CrowdStrike.

Ngoài ra, bản phân tích kỹ thuật từ CrowdStrike phát hành vào thứ Sáu giải thích thêm về những gì đã xảy ra và tại sao nhiều hệ thống bị ảnh hưởng cùng một lúc. CrowdStrike đã giải thích rằng tập tin cấu hình là nguyên nhân chính của vấn đề. Các tập tin cấu hình được đề cập ở trên được gọi là “Channel Files” và là một phần của cơ chế bảo vệ hành vi được sử dụng bởi cảm biến Falcon.

Các bản cập nhật cho Channel Files là một phần bình thường của hoạt động của cảm biến và xảy ra vài lần một ngày để phản ứng với các kỹ thuật và quy trình mới được CrowdStrike phát hiện. Đây không phải là một quy trình mới; kiến trúc này đã tồn tại từ khi Falcon ra đời.

CrowdStrike giải thích rằng tập tin không phải là trình điều khiển nhân (kernel driver) nhưng chịu trách nhiệm cho "cách Falcon đánh giá thực thi named pipe trên các hệ thống Windows." Nhà nghiên cứu bảo mật và người sáng lập Objective See, Patrick Wardle, cho biết lời giải thích này phù hợp với phân tích trước đó của anh và những người khác về nguyên nhân gây ra sự cố, khi tập tin vấn đề “C-00000291-” đã kích hoạt lỗi logic dẫn đến sự cố hệ điều hành (thông qua CSAgent.sys).

Vào ngày 19 tháng 7, CrowdStrike đã phát hành một bản cập nhật cấu hình cảm biến cho các hệ thống Windows. Các bản cập nhật cấu hình cảm biến là một phần của cơ chế bảo vệ nền tảng Falcon. Bản cập nhật cấu hình này đã kích hoạt lỗi logic dẫn đến sự cố hệ thống và khiến cho "màn hình xanh, đi muôn nơi"  trên các hệ thống bị ảnh hưởng.

Các hệ thống chạy cảm biến Falcon cho Windows 7.11 trở lên đã tải xuống cấu hình cập nhật từ 04:09 UTC đến 05:27 UTC - có nguy cơ bị sự cố hệ thống.

Wardle lưu ý rằng các bản cập nhật file channel của CrowdStrike đã được đẩy lên máy tính bất kể bất kỳ cài đặt nào được thiết lập để ngăn chặn các bản cập nhật tự động như vậy.