Một thành phần lỗi trong bản cập nhật CrowdStrike Falcon mới nhất đã làm sập hệ thống Windows, ảnh hưởng đến nhiều tổ chức và dịch vụ trên toàn thế giới, bao gồm sân bay, đài truyền hình và bệnh viện.
Sự cố này ảnh hưởng đến các máy trạm và máy chủ Windows, khi người dùng báo cáo sự cố nghiêm trọng khiến toàn bộ công ty và hàng trăm nghìn máy tính ngừng hoạt động.
Theo một số báo cáo, các dịch vụ khẩn cấp ở Hoa Kỳ và Canada cũng bị ảnh hưởng.
Giải pháp khắc phục lỗi cập nhật CrowdStrike
Nhiều người dùng đã phàn nàn về việc máy chủ Windows bị kẹt trong vòng lặp khởi động hoặc hiển thị “màn hình xanh chết chóc” (BSOD) sau khi cài đặt bản cập nhật mới nhất cho CrowdStrike Falcon Sensor.
Nhà cung cấp bảo mật đã thừa nhận sự cố và công bố cảnh báo kỹ thuật giải thích rằng các kỹ sư của họ đã "xác định được việc triển khai nội dung liên quan đến sự cố này và đã hoàn nguyên những thay đổi đó".
Công ty tiết lộ rằng nguyên nhân vấn đề bắt nguồn từ một tệp Channel, chứa dữ liệu cho cảm biến. Vì nó chỉ là một thành phần của bản cập nhật cho cảm biến, nên loại tệp này có thể được xử lý riêng lẻ mà không cần xóa bản cập nhật Cảm biến Falcon.
Đối với những người đã bị ảnh hưởng, CrowdStrike cung cấp các bước giải quyết sau:
1.Khởi động Windows vào Safe Mode (Chế độ an toàn) hoặc Windows Recovery Environment (Môi trường phục hồi Windows)
2.Điều hướng đến thư mục C:\Windows\System32\drivers\CrowdStrike
3.Tìm tệp có tên theo định dạng “C-00000291*.sys” và xóa chúng.
4.Khởi động máy chủ bình thường.
George Kurtz, chủ tịch kiêm tổng giám đốc điều hành của CrowdStrike đã xác nhận rằng sự cố này là do “một lỗi được tìm thấy trong một bản cập nhật cho máy chủ Windows”.
“Chúng tôi cũng khuyến nghị các tổ chức đảm bảo rằng họ đang liên hệ với đại diện CrowdStrike thông qua các kênh chính thức. Đội ngũ của chúng tôi được huy động toàn diện để đảm bảo an ninh và sự ổn định cho khách hàng CrowdStrike”.
CEO của CrowdStrike cho biết bản sửa lỗi đã có sẵn và khuyến nghị khách hàng truy cập trang hỗ trợ để cập nhật thông tin mới nhất.
Công ty cung cấp hai tùy chọn để giải quyết vấn đề trong môi trường cloud và môi trường ảo hóa, một là quay lại snapshot trước khi xảy ra sự cố, tùy chọn thứ hai là quy trình bảy bước sau:
- Ngắt kết nối ổ đĩa hệ điều hành khỏi máy chủ ảo bị ảnh hưởng
- Tạo snapshot hoặc bản sao lưu của ổ đĩa trước khi tiến hành các bước tiếp theo như một biện pháp phòng ngừa những thay đổi không mong muốn
- Đính kèm/gắn (attach/mount) ổ đĩa vào máy chủ ảo mới
- Điều hướng đến thư mục %WINDIR%\System32\drivers\CrowdStrike
- Tìm tệp có tên “C-00000291*.sys” và xóa tệp đó.
- Ngắt kết nối ổ đĩa khỏi máy chủ ảo mới
- Gắn lại ổ đĩa cố định vào máy chủ ảo bị ảnh hưởng
Ảnh hưởng đến nhiều hãng hàng không và bệnh viện trên toàn thế giới
Vào thời điểm phát hành bài viết, nhiều tổ chức lớn trong nhiều lĩnh vực đã bị ảnh hưởng.
Một số báo cáo cho biết bản cập nhật của CrowdStrike đã ảnh hưởng đến một số cơ quan dịch vụ khẩn cấp 911 tại tiểu bang New York (EMS, cảnh sát, sở cứu hỏa), Alaska và Arizona, cũng như các dịch vụ 911 ở một số khu vực của Canada.
Ngoài ra còn có báo cáo rằng đường dây nóng y tế ở Catalonia, Tây Ban Nha, bị ảnh hưởng và chính quyền đang yêu cầu người dân không gọi đến số 061 trừ khi có trường hợp khẩn cấp.
Đài phát thanh Hà Lan NOS cho biết sự cố này đã gây gián đoạn tại Sân bay Schiphol và “buộc một số chuyến bay phải hủy”.
Sân bay Melbourne cho biết họ đã gặp phải "một sự cố công nghệ toàn cầu đang ảnh hưởng đến quy trình làm thủ tục của một số hãng hàng không". Các sân bay khác bị ảnh hưởng thuộc Berlin, Barcelona, Brisbane, Edinburgh, Amsterdam và London.
Tại Hoa Kỳ, Cục Hàng không Liên bang đã nhận được yêu cầu hỗ trợ nhiều hãng hàng không (American Airlines, United, Delta) dừng hoạt động trên mặt đất cho đến khi "sự cố kỹ thuật ảnh hưởng đến hệ thống CNTT" được giải quyết.
Tại các sân bay JFK và LaGuardia ở Hoa Kỳ, các chuyến bay đã bị hủy do sự cố ngừng hoạt động do bản cập nhật CrowdStrike, khiến hành khách bị mắc kẹt.
Một số bệnh viện ở Hà Lan – Scheper ở Emmen, Bệnh viện Slingeland ở Achterhoek, và các trạm cấp cứu ở Hoogeveen và Stadskanaal cũng bị ảnh hưởng.
Tại Barcelona, Bệnh viện Đại học Terrassa và Viện Ung thư Catalan cũng bị ảnh hưởng nhưng đã bắt đầu hoạt động trở lại bình thường.
Tại Hoa Kỳ, Bệnh viện Bellevue ở New York và Bệnh viện NYU Langone cũng bị ảnh hưởng.
Vào sáng thứ sáu, nhiều đài truyền hình và cơ quan thông tấn như Sky News và ABC đã bị gián đoạn vì máy tính bị sập.
Một lượng lớn người dùng đã bày tỏ sự thất vọng của mình trong các bình luận trên Reddit về hàng chục, thậm chí hàng trăm nghìn máy tính bị sập sau bản cập nhật CrowdStrike và tác động của nó đến công ty của họ.
Mặc dù bản sửa lỗi đã được triển khai và CrowdStrike cung cấp giải pháp tạm thời cho các máy chủ Windows đang gặp sự cố, các công ty vẫn sẽ phải chịu ảnh hưởng từ sự cố này trong một thời gian.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Cisco đã khắc phục một lỗ hổng nghiêm trọng cho phép kẻ tấn công thêm người dùng mới có quyền root và làm ngoại tuyến các thiết bị Security Email Gateway (SEG) bằng cách sử dụng email có tệp đính kèm độc hại.
Tín nhiệm mạng | Cisco đã khắc phục một lỗ hổng có điểm nghiêm trọng tối đa cho phép kẻ tấn công thay đổi mật khẩu của bất kỳ người dùng nào trên các máy chủ cấp phép Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) dễ bị tấn công, bao gồm cả quản trị viên.
Tín nhiệm mạng | CISA đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến OSGeo GeoServer GeoTools vào danh mục Các lỗ hổng bị khai thác đã biết.
Tin tặc đang lạm dụng các trang kinh doanh và quảng cáo trên Facebook để phát tán các chủ đề (theme) Windows giả mạo nhằm lừa người dùng tải xuống phần mềm độc hại đánh cắp mật khẩu SYS01.
Tín nhiệm mạng | Netgear cảnh báo người dùng nên cập nhật thiết bị của họ lên phiên bản firmware mới nhất để vá các lỗ hổng stored cross-site scripting (XSS) và lỗi bỏ qua xác thực trong một số mẫu router WiFi 6.
Một vấn đề bảo mật nghiêm trọng đã được phát hiện trong hệ thống gửi mail Exim có thể cho phép các tác nhân đe dọa gửi các tệp đính kèm độc hại đến hộp thư đến của người dùng bị nhắm mục tiêu.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
