A Microsoft está alertando seus clientes corporativos que, por quase um mês, um bug causou a perda parcial de logs críticos, colocando em risco empresas que dependem desses dados para detectar atividades não autorizadas.
O problema foi relatado inicialmente pelo Business Insider no início deste mês, que informou que a Microsoft havia começado a notificar os clientes de que seus dados de log não estavam sendo coletados consistentemente entre 2 e 19 de setembro.
Os logs perdidos incluem dados de segurança comumente usados para monitorar tráfego suspeito, comportamentos e tentativas de login em uma rede, aumentando as chances de ataques passarem despercebidos.
Uma Revisão Preliminar Pós-Incidente (Preliminary Post Incident Review - PIR) enviada aos clientes e compartilhada pelo MVP da Microsoft, Joao Ferreira, lança mais luz sobre o problema, dizendo que os problemas de log foram piores para alguns serviços, continuando até 3 de outubro.
A revisão da Microsoft indica que os seguintes serviços foram impactados, cada um com variados graus de interrupção dos logs:
- Microsoft Entra: Possíveis logs de sign-in e de atividades incompletos.
Logs do Entra que fluem via Azure Monitor para produtos de segurança da Microsoft, incluindo:
- Microsoft Sentinel, Microsoft Purview e Microsoft Defender for Cloud, também foram impactados.
- Azure Logic Apps: Experimentou falhas intermitentes nos dados de telemetria em Log Analytics, Resource Logs e configurações de diagnóstico do Logic Apps.
- Azure Healthcare APIs: Logs de diagnóstico parcialmente incompletos.
- Microsoft Sentinel: Possíveis falhas em logs ou eventos relacionados à segurança, afetando a capacidade dos clientes de analisar dados, detectar ameaças ou gerar alertas de segurança.
- Azure Monitor: Observou falhas ou resultados reduzidos ao executar consultas baseadas em dados de log dos serviços impactados.
Em cenários onde os clientes configuraram alertas com base nesses dados de log, o alerting pode ter sido impactado.
- Azure Trusted Signing: Experimentou logs de SignTransaction e SignHistory parcialmente incompletos, levando a uma redução no volume de logs de assinatura e a uma subfaturação.
- Azure Virtual Desktop: Incompleto parcialmente em Application Insights.
A principal conectividade e funcionalidade do AVD não foram impactadas.
- Power Platform: Experimentou discrepâncias menores afetando dados em vários relatórios, incluindo relatórios de Análise no portal Admin e Maker, relatórios de Licenciamento, Exportações de Dados para o Data Lake, Application Insights e Registro de Atividades.
A Microsoft diz que a falha de log foi causada por um bug introduzido ao corrigir um problema diferente no serviço de coleta de logs da empresa.
A Microsoft afirma que, embora tenham corrigido o bug seguindo práticas seguras de implantação, não conseguiram identificar o novo problema e levou alguns dias para detectá-lo.
Em uma declaração, o vice-presidente corporativo da Microsoft, John Sheehan, disse que o bug agora foi resolvido e que todos os clientes foram notificados.
No entanto, o especialista em cibersegurança Kevin Beaumont diz que sabe de pelo menos duas empresas com dados de log perdidos que não receberam notificações.
Este incidente ocorreu um ano após a Microsoft enfrentar críticas da CISA e de legisladores por não fornecer dados de log adequados para detectar violações gratuitamente, exigindo em vez disso que os clientes pagassem por isso.
Em julho de 2023, hackers chineses roubaram uma chave de assinatura da Microsoft que lhes permitiu violar contas corporativas e governamentais do Microsoft Exchange e do Microsoft 365 e roubar e-mails.
Embora a Microsoft ainda não tenha determinado como a chave foi roubada, o governo dos EUA detectou os ataques pela primeira vez usando os dados avançados de log da Microsoft.
No entanto, essas capacidades avançadas de log estavam disponíveis apenas para os clientes da Microsoft que pagavam pela funcionalidade de log Microsoft's Purview Audit (Premium).
Devido a isso, a Microsoft foi amplamente criticada por não fornecer esses dados de log adicionais gratuitamente para que as organizações pudessem detectar ataques avançados rapidamente.
Trabalhando com a CISA, o Office of Management and Budget (OMB) e o Office of the National Cyber Director (ONCD), a Microsoft expandiu suas capacidades de log gratuitas para todos os clientes padrão do Purview Audit em fevereiro de 2024.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...