Η Microsoft προειδοποιεί τους εταιρικούς πελάτες ότι, για σχεδόν ένα μήνα, ένα σφάλμα προκάλεσε μερική απώλεια κρίσιμων αρχείων καταγραφής, θέτοντας σε κίνδυνο τις εταιρείες που βασίζονται σε αυτά τα δεδομένα για τον εντοπισμό μη εξουσιοδοτημένης δραστηριότητας.
Το θέμα αναφέρθηκε για πρώτη φορά από Business Insider νωρίτερα αυτόν τον μήνα, ο οποίος ανέφερε ότι η Microsoft είχε αρχίσει να ειδοποιεί τους πελάτες ότι τα δεδομένα καταγραφής τους δεν είχαν συλλεχθεί με συνέπεια μεταξύ 2 Σεπτεμβρίου και 19 Σεπτεμβρίου.
Τα χαμένα αρχεία καταγραφής περιλαμβάνουν δεδομένα ασφαλείας που χρησιμοποιούνται συνήθως για την παρακολούθηση ύποπτης κυκλοφορίας, συμπεριφοράς και προσπαθειών σύνδεσης σε ένα δίκτυο, αυξάνοντας τις πιθανότητες να μην εντοπιστούν οι επιθέσεις.
ΕΝΑ Προκαταρκτική ανασκόπηση μετά το περιστατικό (PIR) που εστάλη σε πελάτες και κοινοποιήθηκε από τον MVP της Microsoft, Joao Ferreira, ρίχνει περαιτέρω φως στο θέμα, λέγοντας ότι τα προβλήματα καταγραφής ήταν χειρότερα για ορισμένες υπηρεσίες, συνεχίζοντας μέχρι τις 3 Οκτωβρίου.
Η ανασκόπηση της Microsoft λέει ότι επηρεάστηκαν οι ακόλουθες υπηρεσίες, καθεμία με διαφορετικούς βαθμούς διακοπής του αρχείου καταγραφής:
- Microsoft Entra: Πιθανώς ελλιπή αρχεία καταγραφής σύνδεσης και αρχεία καταγραφής δραστηριοτήτων. Τα αρχεία καταγραφής Entra που ρέουν μέσω του Azure Monitor σε προϊόντα Microsoft Security, συμπεριλαμβανομένων των Microsoft Sentinel, Microsoft Purview και Microsoft Defender για Cloud, επηρεάστηκαν επίσης.
- Εφαρμογές Azure Logic: Αντιμετώπισε διαλείποντα κενά στα δεδομένα τηλεμετρίας στο Log Analytics, τα αρχεία καταγραφής πόρων και τις ρυθμίσεις διάγνωσης από τις Logic Apps.
- Azure Healthcare API: Μερικώς ελλιπή διαγνωστικά αρχεία καταγραφής.
- Microsoft Sentinel: Πιθανά κενά σε αρχεία καταγραφής ή συμβάντα που σχετίζονται με την ασφάλεια, που επηρεάζουν την ικανότητα των πελατών να αναλύουν δεδομένα, να εντοπίζουν απειλές ή να δημιουργούν ειδοποιήσεις ασφαλείας.
- Azure Monitor: Παρατηρήθηκαν κενά ή μειωμένα αποτελέσματα κατά την εκτέλεση ερωτημάτων που βασίζονται σε δεδομένα καταγραφής από επηρεαζόμενες υπηρεσίες. Σε σενάρια όπου οι πελάτες διαμόρφωσαν ειδοποιήσεις με βάση αυτά τα δεδομένα καταγραφής, η ειδοποίηση ενδέχεται να έχει επηρεαστεί.
- Azure Trusted Signing: Εμφανίστηκαν μερικώς ελλιπή αρχεία καταγραφής SignTransaction και SignHistory, που οδήγησε σε μειωμένο όγκο αρχείων καταγραφής υπογραφών και χαμηλότερη χρέωση.
- Εικονική επιφάνεια εργασίας Azure: Μερικώς ελλιπής στο Application Insights. Η κύρια συνδεσιμότητα και λειτουργικότητα του AVD δεν επηρεάστηκε.
- Power Platform: Αντιμετωπίστε μικρές αποκλίσεις που επηρεάζουν τα δεδομένα σε διάφορες αναφορές, συμπεριλαμβανομένων των αναφορών του Analytics στην πύλη Διαχειριστής και Δημιουργού, των αναφορών αδειοδότησης, των εξαγωγών δεδομένων στη λίμνη δεδομένων, των πληροφοριών εφαρμογών και της καταγραφής δραστηριότητας.
Η Microsoft λέει ότι η αποτυχία καταγραφής προκλήθηκε από ένα σφάλμα που παρουσιάστηκε κατά τη διόρθωση ενός διαφορετικού ζητήματος στην υπηρεσία συλλογής αρχείων καταγραφής της εταιρείας.
“Η αρχική αλλαγή ήταν να αντιμετωπιστεί ένα όριο στην υπηρεσία καταγραφής, αλλά όταν αναπτύχθηκε, προκάλεσε κατά λάθος μια κατάσταση αδιεξόδου όταν ο πράκτορας κατευθυνόταν να αλλάξει το τελικό σημείο μεταφόρτωσης τηλεμετρίας με έναν ταχέως μεταβαλλόμενο τρόπο, ενώ η αποστολή ήταν σε εξέλιξη στην αρχική Το τελικό σημείο οδήγησε σε ένα σταδιακό αδιέξοδο των νημάτων στο στοιχείο αποστολής, εμποδίζοντας τη μεταφόρτωση της τηλεμετρίας του πράκτορα. Η επανεκκίνηση του πράκτορα ή του λειτουργικού συστήματος επιλύει το αδιέξοδο και ο πράκτορας ανεβάζει δεδομένα που έχει στην τοπική κρυφή μνήμη κατά την εκκίνηση Υπήρχαν περιπτώσεις όπου ο αριθμός των δεδομένων καταγραφής που συλλέγονται από τον πράκτορα ήταν μεγαλύτερος από το όριο της κρυφής μνήμης του τοπικού πράκτορα πριν από την επανεκκίνηση. συνέβη και σε αυτές τις περιπτώσεις ο πράκτορας αντικατέστησε τα παλαιότερα δεδομένα στη μνήμη cache (κυκλική προσωρινή μνήμη που διατηρεί τα πιο πρόσφατα δεδομένα, μέχρι το όριο μεγέθους). Τα δεδομένα καταγραφής πέρα από το όριο μεγέθους της κρυφής μνήμης δεν είναι ανακτήσιμα.”
❖ Microsoft
Η Microsoft λέει ότι παρόλο που διόρθωσε το σφάλμα ακολουθώντας πρακτικές ασφαλούς ανάπτυξης, δεν κατάφεραν να εντοπίσουν το νέο πρόβλημα και χρειάστηκαν μερικές ημέρες για να το εντοπίσουν.
Σε δήλωση προς TechCrunchο εταιρικός αντιπρόεδρος της Microsoft John Sheehan είπε ότι το σφάλμα έχει πλέον επιλυθεί και ότι όλοι οι πελάτες έχουν ειδοποιηθεί.
Ωστόσο, ειδικός στον κυβερνοχώρο λέει ο Kevin Beaumont ότι γνωρίζει τουλάχιστον δύο εταιρείες με ελλείποντα δεδομένα καταγραφής που δεν έλαβαν ειδοποιήσεις.
Αυτό το περιστατικό σημειώθηκε ένα χρόνο αφότου η Microsoft αντιμετώπισε κριτική από την CISA και τους νομοθέτες επειδή δεν παρείχε επαρκή δεδομένα καταγραφής για τον εντοπισμό παραβιάσεων δωρεάν, αλλά απαιτούσε από τους πελάτες να πληρώσουν για αυτό.
Τον Ιούλιο του 2023, Κινέζοι χάκερ έκλεψαν ένα κλειδί υπογραφής της Microsoft που τους επέτρεπε να παραβιάσουν εταιρικούς και κυβερνητικούς λογαριασμούς Microsoft Exchange και Microsoft 365 και να κλέψουν email.
Ενώ η Microsoft δεν έχει ακόμη καθορίσει τον τρόπο κλοπής του κλειδιού, η κυβέρνηση των ΗΠΑ εντόπισε πρώτα τις επιθέσεις χρησιμοποιώντας τα προηγμένα δεδομένα καταγραφής της Microsoft.
Ωστόσο, αυτές οι προηγμένες δυνατότητες καταγραφής ήταν διαθέσιμες μόνο σε πελάτες της Microsoft που πλήρωσαν Έλεγχος Purview της Microsoft (Premium) δυνατότητα καταγραφής.
Εξαιτίας αυτού, η Microsoft επικρίθηκε ευρέως επειδή δεν παρείχε δωρεάν αυτά τα πρόσθετα δεδομένα καταγραφής, ώστε οι οργανισμοί να μπορούν να εντοπίζουν γρήγορα προηγμένες επιθέσεις.
Σε συνεργασία με την CISA, το Office of Management and Budget (OMB) και το Office of the National Cyber Director (ONCD), η Microsoft επέκτεινε τις δυνατότητες δωρεάν καταγραφής για όλους τους τυπικούς πελάτες Purview Audit τον Φεβρουάριο του 2024.
VIA: bleepingcomputer.com
