2 pontos por GN⁺ 2024-10-22 | 1 comentários | Compartilhar no WhatsApp
  • Alguns clientes de nuvem da Microsoft podem ter perdido os dados necessários para detecção de intrusão e análise posterior após sofrerem uma lacuna de mais de 2 semanas nos logs de segurança
  • De 2 de setembro a 19 de setembro, um bug em um agente interno de monitoramento impediu o upload de parte dos logs, fazendo com que os dados não fossem registrados na plataforma interna de logging
  • A Microsoft explicou que a causa foi um bug operacional, e não um incidente de segurança, e que o impacto ficou limitado à “coleta de eventos de log”
  • Os produtos afetados incluem Microsoft Entra, Sentinel, Defender for Cloud e Purview, e os clientes podem ter enfrentado lacunas em análise de dados, detecção de ameaças e geração de alertas de segurança
  • Como isso acontece depois de a Microsoft ter dito, após o incidente de invasão ligado à China em 2023, que ampliaria o fornecimento de logs também para planos mais baratos, a acessibilidade e a confiabilidade da retenção de logs de segurança em nuvem voltam ao centro do debate

Falha nos logs de segurança da nuvem da Microsoft

  • A Microsoft informou a alguns clientes de produtos de nuvem que ficaram sem mais de 2 semanas de logs de segurança
    • O período de ausência foi de 2 de setembro a 19 de setembro
    • No aviso enviado aos clientes, a empresa disse que parte de seus agentes internos de monitoramento apresentou mau funcionamento durante o envio dos dados de log para a plataforma interna de logging
  • A falha de logging não foi causada por um incidente de segurança, e a Microsoft afirmou que o impacto se limitou à “coleta de eventos de log”
  • O logging é a função que rastreia eventos dentro do produto e pode incluir dados como informações de login de usuários e tentativas mal-sucedidas
    • Sem esses logs, pode ter ficado mais difícil identificar acessos não autorizados às redes dos clientes durante esse período
  • O Business Insider foi o primeiro a noticiar a perda de dados de log no início de outubro
  • O pesquisador de segurança Kevin Beaumont avalia que o aviso enviado pela Microsoft às empresas afetadas provavelmente só seria visível para um pequeno número de usuários com privilégios de administrador do tenant

Produtos afetados e impacto para os clientes

  • Os produtos afetados incluem Microsoft Entra, Sentinel, Defender for Cloud e Purview
  • O aviso aos clientes informa que pode ter havido lacunas potenciais em logs ou eventos relacionados à segurança
    • Essas lacunas podem ter afetado a capacidade de análise de dados, detecção de ameaças e geração de alertas de segurança
  • A Microsoft não respondeu a perguntas detalhadas sobre a falha de logging, mas o corporate vice president John Sheehan confirmou que a causa foi “um bug operacional em um agente interno de monitoramento”
    • A Microsoft mitigou o problema revertendo uma alteração no serviço
    • A empresa disse que notificou todos os clientes afetados e que fornecerá o suporte necessário

A questão dos logs volta à tona após a invasão ligada à China em 2023

  • Esta falha ocorreu um ano depois de a Microsoft ter sido criticada em 2023 por investigadores federais dos EUA por não fornecer logs de segurança a alguns órgãos do governo federal americano
    • Na época, os investigadores avaliaram que, se esses logs estivessem acessíveis, a invasão ligada à China poderia ter sido identificada muito mais cedo
  • Os invasores ligados à China Storm-0558 comprometeram a rede da Microsoft e roubaram uma “skeleton key” digital
    • Com essa chave, foi possível acessar sem restrições e-mails do governo dos EUA armazenados na nuvem da Microsoft
  • Segundo a análise posterior do ataque cibernético feita pelo governo, o State Department conseguiu identificar a invasão porque havia comprado uma licença mais alta da Microsoft, o que lhe dava acesso aos logs de segurança dos produtos de nuvem
    • Muitos outros órgãos do governo dos EUA afetados pelo ataque não tinham o mesmo direito de acesso a esses logs
  • Após o ataque ligado à China, a Microsoft anunciou que, a partir de setembro de 2023, passaria a fornecer logs também para contas de nuvem em planos mais baratos

1 comentários

 
GN⁺ 2024-10-22
Comentários no Hacker News
  • Se você usa Azure em um ambiente de produção realista, acho que a responsabilidade é sua
    Mesmo que me dessem US$ 100 mil em créditos gratuitos, não teriam me convencido a usar por mais de um mês
    É caro, a interface é extremamente hostil e, acima de tudo, por causa de coisas como esta, os produtos não parecem confiáveis o bastante para serem usados com cargas de produção

    • Quando você vem de outro provedor de nuvem para o Azure, há alertas laranja-escuro demais
      O conjunto todo parece inconsistente e remendado, então é difícil acreditar que alguém consiga fazer uma auditoria de segurança adequada
      A parte mais incômoda é o login: há uma quantidade absurda de redirecionamentos e erros, e é difícil dizer que funciona como deveria
      Por exemplo, tentei baixar um BAA e acabei preso em um loop de login no site confiável, mas no mesmo navegador conseguia ver o console do Azure normalmente
      Saí da conta do Azure para ver se um novo login ajudaria, mas no login seguinte a autenticação de dois fatores não apareceu
      Se eu fiz logout explicitamente na janela do navegador, isso deveria revogar a confiança naquele dispositivo; portanto, a autenticação de dois fatores não ser acionada me parece um grande sinal de alerta
      No fim, não consegui baixar o BAA nem abrir um ticket, mas, estranhamente, um colega conseguiu baixar normalmente
    • Ri quando vi recentemente um lugar tentando instalar software da MS em todas as máquinas Linux para integrá-las ao Azure
      Chega um ponto em que é preciso parar e pensar um pouco
      Você não tinha escolhido Linux justamente porque queria um sistema em que pudesse confiar?
    • Não quero parecer troll com esse papo de “dá para fazer melhor”, mas acho mesmo que eles não conseguem
      O último produto “bom” que fizeram foi SQL Server/Exchange/Windows 2000, e isso foi há muito tempo
    • Até internamente é assim: “Nem o LinkedIn está tão empolgado com a nuvem da Microsoft: abandona a migração para o Azure”
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • Infelizmente, esse tipo de escolha é decidido pela alta direção, e eles simplesmente seguem a moda
  • Quase todas as equipes tinham um bug real em um aplicativo rodando em VMs, e esse app empurrava os logs da aplicação para o armazenamento
    Nossa equipe também precisou reiniciar o processo para fazer os logs voltarem a fluir
    Foi um incidente sev 0, e um erro difícil de corrigir, porque muitas equipes tiveram de reiniciar manualmente um agente que normalmente rodava quieto em segundo plano

    • Dá a impressão de que, se a Microsoft fizesse testes automatizados com uma profundidade razoável, esse tipo de coisa não continuaria acontecendo
      A recente pane global da ClownStrike mostrou falta de testes antes da distribuição, e este problema da Microsoft mostra que algo parecido também acontece mais perto da origem do Windows
      Não é uma boa aparência
    • Fico curioso se isso é uma história de dentro da Microsoft ou de alguém falando da perspectiva de cliente
  • Dói ver que os produtos afetados incluem Microsoft Entra, Sentinel, Defender for Cloud e Purview
    O fato de o Entra, antigo Azure Active Directory, ter sido afetado é bem sério
    Mas quem precisa de logs de SSO, não é?

    • Houve uma época em que eu olhava para o céu e não achava que um asteroide cairia na Terra
      A ignorância é uma bênção
      Além disso, quando vi escrito Entra, achei que fosse Encarta e fiquei animado por um instante pensando que ainda existia
    • Meu Deus, a Microsoft precisa escolher um nome e continuar usando
      Azure Active Directory também não era um nome excelente, mas ficar renomeando tudo o tempo todo é cansativo demais
    • Em espanhol, entra significa “entre/entre para dentro”, então rende piada fácil
    • Nós precisamos. Temos obrigações de compliance
      Felizmente, os sistemas de produção não estão integrados ao Entra; só coisas sem relação com clientes estão conectadas
    • Sem logs, não há invasão
  • Fico me perguntando que operação de agência de inteligência isso pode ter apoiado

    • Chamamos isso de APT -1, ou seja, Microsoft
    • Nada disso. A infraestrutura interna de logging da Microsoft é dos anos 90
  • Também não se deve esquecer este texto longo de pouco mais de um mês atrás
    Ele resume as circunstâncias em que a Microsoft falhou em cibersegurança no exterior e parece ter deixado isso acontecer de propósito
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • Por um lado, há substância importante nesse relatório
      Por outro, Schiller não parece uma testemunha totalmente confiável, e também é sugestivo que os pedidos de supervisão do governo pareçam ter sido dirigidos apenas a parlamentares republicanos MAGA extremistas
      Ainda assim, concordo 100% que 1) não se deve depender de pessoal de suporte de nacionalidade estrangeira para apoiar infraestrutura essencial do governo dos EUA, e 2) todas as grandes empresas de tecnologia, incluindo hyperscalers, fazem acordos com a esfera do governo chinês por meio de operadores representantes locais como Tencent e Alicloud para fazer negócios na China
      Não há supervisão suficiente sobre esses contratos e sobre as condições que permitem que pessoal do lado chinês tenha acesso direto à pilha de hardware e software
  • Por que admitiram isso publicamente?

    • Porque foram pegos escondendo o relatório dentro de uma ferramenta à qual a maioria das equipes de segurança não tem acesso
    • Talvez estejam preparando o terreno para que, quando tiverem de admitir que um agente estrangeiro apagou logs, isso não pareça uma notícia tão grande
      É uma forma comum de a MSFT lidar com esse tipo de coisa
  • Azure não é bom
    Especialmente o Batch Service: o agendador de tarefas não é nada preciso

  • Até lugares com a pior infraestrutura e práticas operacionais horríveis que já vi tinham mecanismos sofisticados para tornar algo assim praticamente impossível
    Porque, quando acontece algo assim, é realmente grave
    Mesmo antes deste caso, acho que eu não gostaria de colocar meu negócio sobre infraestrutura de nuvem gerenciada do Azure
    Mesmo tentando fazer um experimento mental de como isso seria possível sem uma falha catastrófica do sistema inteiro, não consigo imaginar bem

  • Havia comentários aqui dizendo que a msft era mais amigável às empresas do que o Google
    O motivo era que ela não perdia dados, mas a msft está no lado oposto da confiabilidade

  • Isso cheira a acobertamento
    Parece algo como: “Uma vulnerabilidade da nossa plataforma apareceu no syslog dos clientes!” “Rápido, pessoal, vamos perder os logs e ganhar mais tempo”