“Microsoft tiết lộ cập nhật lỗi của CrowdStrike làm đơ 8.5 triệu thiết bị Windows”

Cập nhật lỗi của CrowdStrike đã tạo ra một thảm họa công nghệ trên toàn cầu, ảnh hưởng tới 8,5 triệu thiết bị Windows vào thứ Sáu, theo Microsoft. Microsoft cho biết đó chỉ “là dưới một phần trăm của tất cả các máy tính Windows,” nhưng đủ tạo ra vấn đề cho các cửa hàng bán lẻ, ngân hàng, hãng hàng không, và nhiều ngành công nghiệp khác, cũng như tất cả mọi người phụ thuộc vào chúng.

Sự cố của CrowdStrike giải thích về tập tin cấu hình mà là nguyên nhân của vấn đề:

Các tập tin cấu hình được đề cập ở trên được gọi là “Tập tin kênh” và là một phần của các cơ chế bảo vệ hành vi được sử dụng bởi cảm biến Falcon. Cập nhật cho Tập tin Kênh là một phần bình thường của hoạt động của cảm biến và diễn ra một vài lần mỗi ngày đáp ứng các chiến thuật, kỹ thuật và thủ tục mới được phát hiện bởi CrowdStrike. Đây không phải là quy trình mới; kiến trúc này đã có từ khi Falcon ra đời.

CrowdStrike giải thích rằng tập tin này không phải là trình điều khiển nhân nhưng chịu trách nhiệm về cách Falcon đánh giá việc thực thi ống đặt tên trên các hệ thống Windows. Nhà nghiên cứu bảo mật và người sáng lập Objective See, Patrick Wardle nói rằng giải thích đó tương thích với phân tích trước đó mà anh và người khác cung cấp về nguyên nhân của sự cố, vì tập tin vấn đề “C-00000291-” đã kích hoạt một lỗi logic dẫn đến sự cố hệ điều hành” (qua CSAgent.sys).

Các đoạn trích khác từ blog của CrowdStrike giải thích nhiều hơn về điều gì đã sai:

Vào ngày 19 tháng 7 năm 2024 vào lúc 04:09 UTC, trong quá trình hoạt động, CrowdStrike đã phát hành một cập nhật cấu hình cảm biến cho hệ thống Windows. Cập nhật cấu hình cảm biến là một phần liên tục của các cơ chế bảo vệ của nền tảng Falcon. Cập nhật cấu hình này đã kích hoạt một lỗi logic dẫn đến sự cố hệ thống và màn hình xanh (BSOD) trên các hệ thống bị ảnh hưởng.

Và hệ thống nào đã bị ảnh hưởng và khi nào:

Các hệ thống chạy cảm biến Falcon cho Windows 7.11 và cao hơn đã tải xuống cập nhật cấu hình từ 04:09 UTC đến 05:27 UTC – đã dễ bị sự cố hệ thống.

Các cập nhật tập tin kênh của CrowdStrike đã được đẩy đến máy tính bất kể bất kỳ cài đặt nào nhằm ngăn chặn các cập nhật tự động như vậy, Wardle chú ý.

CrowdStrike’s faulty update caused a worldwide tech disaster that affected 8.5 million Windows devices on Friday, according to Microsoft. Microsoft says that’s “less than one percent of all Windows machines,” but it was enough to create problems for retailers, banks, airlines, and many other industries, as well as everyone who relies on them.

CrowdStrike’s breakdown explains the configuration file that was at the heart of the issue:

The configuration files mentioned above are referred to as “Channel Files” and are part of the behavioral protection mechanisms used by the Falcon sensor. Updates to Channel Files are a normal part of the sensor’s operation and occur several times a day in response to novel tactics, techniques, and procedures discovered by CrowdStrike. This is not a new process; the architecture has been in place since Falcon’s inception.

CrowdStrike explained that the file is not a kernel driver but is responsible for “how Falcon evaluates named pipe1 execution on Windows systems.” Security researcher and Objective See founder Patrick Wardle says that the explanation aligns with the earlier analysis he and others provided about the cause of the crash, as the problem file “C-00000291- “triggered a logic error that resulted in an OS crash” (via CSAgent.sys).”

Other excerpts from CrowdStrike’s blog explain more about what went wrong:

On July 19, 2024 at 04:09 UTC, as part of ongoing operations, CrowdStrike released a sensor configuration update to Windows systems. Sensor configuration updates are an ongoing part of the protection mechanisms of the Falcon platform. This configuration update triggered a logic error resulting in a system crash and blue screen (BSOD) on impacted systems.

And which systems were affected and when:

Systems running Falcon sensor for Windows 7.11 and above that downloaded the updated configuration from 04:09 UTC to 05:27 UTC – were susceptible to a system crash.

CrowdStrike’s channel file updates were pushed to computers regardless of any settings meant to prevent such automatic updates, Wardle noted.