VietNetwork.Vn

Đại dịch kỹ thuật số CrowdStrike khiến hơn 8,5 triệu thiết bị Windows gặp lỗi BSoD khó chịu.

Một trong những người xem Dave's Garage cho biết: "Là một cựu nhân viên của CrowdStrike, đây là lời giải thích hay nhất mà tôi từng nghe và chính xác 100%.

1. Những gì bạn cần biết

• Tuần trước, thế giới đã dậy sóng trước một đại dịch kỹ thuật số toàn cầu do trình điều khiển CrowdStrike bị lỗi gây ra, ảnh hưởng tiêu cực đến các dịch vụ của Microsoft.
• Dave Plummer, cựu nhà phát triển Microsoft Windows, đã chia sẻ một video trên YouTube trình bày chi tiết phức tạp về tình trạng ngừng hoạt động CNTT toàn cầu.
• Plummer tin rằng sự cố ngừng hoạt động là do byte rỗng trong tệp dữ liệu động của trình điều khiển.

Thứ Sáu tuần trước, thế giới đã thức tỉnh trước điều mà các chuyên gia hiện nay gọi là " sự cố ngừng hoạt động CNTT lớn nhất thế giới từng chứng kiến." Sự cố ngừng hoạt động lớn do trình điều khiển hạt nhân CrowdStrike bị lỗi đã ảnh hưởng đến khoảng 8,5 triệu thiết bị Windows.

Đại dịch kỹ thuật số đã ảnh hưởng đến các dịch vụ của Microsoft, bao gồm mạng và điện toán đám mây. Lỗi Màn hình xanh chết chóc (BSoD) khủng khiếp là đặc điểm của vấn đề. Do đó, Microsoft và CrowdStrike đã đưa ra tuyên bố cho biết họ đã khắc phục sự cố nhưng sẽ mất thời gian để các dịch vụ được khôi phục hoàn toàn.

Microsoft khuyến nghị khởi động lại thiết bị tối đa 15 lần để đẩy nhanh quá trình khôi phục dịch vụ. Chúng tôi đã nhận được nhiều tài khoản khác nhau giải thích nguyên nhân cốt lõi của sự cố ngừng hoạt động CNTT trên toàn cầu từ các quan chức của Microsoft và CrowdStrike.

Dave Plummer (hay còn gọi là Dave's Garage), là cựu kỹ sư phần mềm của Microsoft, nổi tiếng với những đóng góp của ông trên hệ sinh thái Windows, bao gồm cả việc bổ sung tính năng hỗ trợ tệp ZIP và hơn thế nữa. Gần đây anh ấy đã chia sẻ một video trên YouTube giải thích về đại dịch kỹ thuật số do CrowdStrike gây ra.

Về bối cảnh, công việc của Plummer với tư cách là Nhà phát triển Windows tại Microsoft liên quan đến việc gỡ lỗi BSoD, mặc dù anh thừa nhận việc CrowdStrike ngừng hoạt động là khác. Điều thú vị là Plummer nói thêm rằng anh ta đang đi du lịch ở New York giữa lúc hỗn loạn, khiến anh ta bị mắc kẹt ở sân bay.

Mặc dù Plummer cho biết quá trình gỡ lỗi BSoD rất đơn giản nhưng ông lại đề cập đến các vấn đề ảnh hưởng đến trình điều khiển kernel là "khó giải quyết nhất". Ông còn chỉ ra thêm rằng hệ điều hành kernel sử dụng hệ thống vòng để phân chia mã thành hai loại chế độ kernel riêng biệt cho hệ điều hành, bao gồm chế độ kernel cho hệ điều hành và chế độ người dùng tạo điều kiện thuận lợi cho việc chạy các ứng dụng phần mềm.

Chế độ hạt nhân có nhiều đặc quyền hơn và có quyền truy cập vào toàn bộ bản đồ bộ nhớ hệ thống cũng như những gì có trong bộ nhớ trên bất kỳ trang vật lý nào. Mặt khác, chế độ người dùng chỉ có quyền truy cập vào các trang bản đồ bộ nhớ mà kernel muốn bạn xem. Cũng cần lưu ý rằng khi mã ứng dụng gặp sự cố thì ứng dụng cũng gặp sự cố. Trong khi đó, khi chế độ kernel gặp sự cố, toàn bộ hệ thống gặp sự cố - đó là lý do tại sao người dùng gặp phải lỗi BSoD khủng khiếp.

Plummer lưu ý rằng điều này không dành riêng cho hệ điều hành Windows mà là một biện pháp bảo vệ chung trên tất cả các hệ thống hiện đại, bao gồm cả Linux và macOS của Apple. Đây là lúc dịch vụ bảo mật Falcon của CrowdSrike xuất hiện. Dịch vụ này giúp ngăn chặn phần mềm độc hại và cung cấp khả năng bảo vệ mạnh mẽ cho máy chủ. Điều đáng chú ý là dịch vụ này hoạt động ở chế độ kernel. Nó giám sát và phân tích cách ứng dụng chạy trong trường hợp bị tấn công vì nó có quyền truy cập vào các dịch vụ và cấu trúc dữ liệu hệ thống.

2. Tại sao Windows lại là một phần của sự hỗn loạn?


Chạy mã ở chế độ kernel không phải là điều dễ dàng. Đối với ngữ cảnh, Microsoft cung cấp chứng nhận WHQL (Phòng thí nghiệm chất lượng phần cứng Windows) trong những trường hợp như bằng chứng cho thấy trình điều khiển đã trải qua quá trình kiểm tra và được chứng nhận để chạy trên Windows. Gã khổng lồ công nghệ chỉ cấp chứng chỉ số sau khi chạy thử nghiệm. Tuy nhiên, nó chỉ có hiệu lực miễn là không có thay đổi nào đối với trình điều khiển sau khi thử nghiệm.

CrowdStrike nhằm mục đích giúp Falcon cập nhật các tính năng bảo mật mới nhất để theo kịp các cuộc tấn công tinh vi. Về bản chất, điều này sẽ yêu cầu công ty tạo trình điều khiển mới cho mỗi bản cập nhật, điều này cũng có nghĩa là chứng nhận WHQL mới cho trình điều khiển. Với những thay đổi nhanh chóng và việc triển khai các cuộc tấn công nhanh chóng, điều này sẽ không khả thi vì thời gian xử lý có thể mất vài tuần.

Để giải quyết vấn đề này, CrowdStrike có các tệp định nghĩa động mà trình điều khiển có thể xử lý mà không nhất thiết phải là một phần của gói trình điều khiển ban đầu. Bằng cách này, công ty có thể tránh được các quy trình thử nghiệm và chứng nhận kéo dài mà vẫn có thể gửi các bản cập nhật mới để chống lại các mối đe dọa tiềm ẩn đối với hệ thống.

Tuy nhiên, cách tiếp cận này không hoàn toàn suôn sẻ. Các tệp động là các chương trình hoàn chỉnh được viết bằng mã mà trình điều khiển có thể thực thi và chạy mã không dấu ở chế độ kernel và chạy. Trình điều khiển vẫn giữ nguyên và không đảm bảo chứng nhận mới, các bản cập nhật mới thay đổi hoạt động của nó, từ đó gây ra các mối đe dọa bảo mật.

Trong khi các báo cáo cho thấy dịch vụ bị lỗi do tham chiếu bộ nhớ không hợp lệ, Plummer cho rằng sự cố có thể do các byte rỗng trong tệp dữ liệu động gây ra. Trong thời gian CNTT toàn cầu ngừng hoạt động, những người dùng lo ngại đã ném Microsoft vào gầm xe buýt (mặc dù các báo cáo sau đó đã xác nhận rằng công ty không đứng sau đại dịch kỹ thuật số).

Hệ điều hành Windows có nhiều tính năng được thiết kế để xử lý những vấn đề như vậy, bao gồm cả khả năng khởi động với cấu hình tốt được biết đến gần đây nhất. Tuy nhiên, trình điều khiển của CrowdStrike được đánh dấu là trình điều khiển khởi động. Đối với ngữ cảnh, trình điều khiển khởi động rất quan trọng khi khởi động lại hệ điều hành. Do đó, trình điều khiển của CrowdStrike có thể được chỉ định làm trình điều khiển khởi động để bảo vệ các thiết bị Windows — do đó liên tục xảy ra các báo cáo lỗi BSoD.