Theo thông báo từ Microsoft vào rạng sáng ngày 21 tháng 7, bản cập nhật của CrowdStrike đã ảnh hưởng đến chưa đầy một phần trăm tổng số máy Windows trên thế giới. Mặc dù tỷ lệ này nhỏ, nhưng tác động kinh tế và xã hội là rất lớn, phản ánh sự phụ thuộc vào công ty bảo mật mạng này của nhiều doanh nghiệp.
CrowdStrike, một trong những tên tuổi lớn trong ngành bảo mật mạng, đã phát hành bản cập nhật cho phần mềm Falcon Sensor vào ngày 19 tháng 7. Tuy nhiên, bản cập nhật này đã tạo ra sự cố "màn hình xanh chết chóc", khiến hàng nghìn chuyến bay bị hoãn, đài truyền hình ngừng phát sóng và các dịch vụ thiết yếu như chăm sóc sức khỏe và ngân hàng bị gián đoạn.
Microsoft đã phối hợp với CrowdStrike, Amazon Web Services và Google Cloud Platform để xử lý sự cố. Đến ngày 20 tháng 7, Delta Air Lines, một trong những hãng hàng không bị ảnh hưởng nặng nề nhất, đã hủy hơn 600 chuyến bay và dự kiến sẽ còn hủy thêm. Tại Việt Nam, Vietjet cũng thông báo bị ảnh hưởng dây chuyền do tình trạng hoãn chuyến tại các sân bay quốc tế.
Bản cập nhật Falcon Sensor gặp lỗi nghiêm trọng, gây ra một trong những sự gián đoạn kết nối lớn nhất trong những năm gần đây. Theo chuyên gia nghiên cứu mối đe dọa Patrick Wardle, lỗi này nằm trong một tệp tin chứa thông tin cấu hình hoặc chữ ký, vốn là yếu tố quan trọng để phần mềm bảo mật phát hiện mã độc và phần mềm độc hại.
Wardle cho rằng CrowdStrike đã không thử nghiệm kỹ lưỡng trước khi phát hành bản cập nhật, do áp lực phải đáp ứng nhanh chóng với các mối đe dọa mới. "Các sản phẩm bảo mật thường cập nhật chữ ký mỗi ngày, dẫn đến việc các công ty phải đánh đổi giữa sự an toàn và tính ổn định," Wardle giải thích.
Paul Davis, giám đốc an toàn thông tin tại JFrog, cho biết các công ty bảo mật thường phải đẩy nhanh nhiều bản cập nhật mỗi ngày, điều này làm cho việc kiểm tra trở nên nặng nề và dễ dẫn đến lỗi. "Các công ty phải chấp nhận những rủi ro có thể xảy ra trong quá trình cập nhật tự động," ông nói.
Sự cố này, dù đã được CrowdStrike xác định và xử lý, vẫn cần thời gian để khắc phục hoàn toàn. Một chuyên gia bảo mật cho biết việc sửa chữa sẽ yêu cầu khởi động lại từng máy tính và thực hiện các bước thủ công để xóa các tệp lỗi.
John Hammond, nhà nghiên cứu bảo mật tại Huntress Labs, khuyến nghị các công ty nên kiểm tra kỹ lưỡng bản cập nhật hoặc triển khai cho một nhóm hạn chế trước khi áp dụng diện rộng để tránh những sự cố tương tự trong tương lai.
Trước sự cố này, một bản cập nhật phần mềm diệt virus của McAfee cũng đã làm hàng trăm nghìn máy tính ngừng hoạt động vào năm 2010, cho thấy sự rủi ro tiềm tàng của các bản cập nhật phần mềm.