Microsoft anuncia perda de semanas de logs de segurança em produtos de nuvem de clientes
(techcrunch.com)- Alguns clientes de nuvem da Microsoft podem ter perdido os dados necessários para detecção de intrusão e análise posterior após sofrerem uma lacuna de mais de 2 semanas nos logs de segurança
- De 2 de setembro a 19 de setembro, um bug em um agente interno de monitoramento impediu o upload de parte dos logs, fazendo com que os dados não fossem registrados na plataforma interna de logging
- A Microsoft explicou que a causa foi um bug operacional, e não um incidente de segurança, e que o impacto ficou limitado à “coleta de eventos de log”
- Os produtos afetados incluem Microsoft Entra, Sentinel, Defender for Cloud e Purview, e os clientes podem ter enfrentado lacunas em análise de dados, detecção de ameaças e geração de alertas de segurança
- Como isso acontece depois de a Microsoft ter dito, após o incidente de invasão ligado à China em 2023, que ampliaria o fornecimento de logs também para planos mais baratos, a acessibilidade e a confiabilidade da retenção de logs de segurança em nuvem voltam ao centro do debate
Falha nos logs de segurança da nuvem da Microsoft
- A Microsoft informou a alguns clientes de produtos de nuvem que ficaram sem mais de 2 semanas de logs de segurança
- O período de ausência foi de 2 de setembro a 19 de setembro
- No aviso enviado aos clientes, a empresa disse que parte de seus agentes internos de monitoramento apresentou mau funcionamento durante o envio dos dados de log para a plataforma interna de logging
- A falha de logging não foi causada por um incidente de segurança, e a Microsoft afirmou que o impacto se limitou à “coleta de eventos de log”
- O logging é a função que rastreia eventos dentro do produto e pode incluir dados como informações de login de usuários e tentativas mal-sucedidas
- Sem esses logs, pode ter ficado mais difícil identificar acessos não autorizados às redes dos clientes durante esse período
- O Business Insider foi o primeiro a noticiar a perda de dados de log no início de outubro
- O pesquisador de segurança Kevin Beaumont avalia que o aviso enviado pela Microsoft às empresas afetadas provavelmente só seria visível para um pequeno número de usuários com privilégios de administrador do tenant
Produtos afetados e impacto para os clientes
- Os produtos afetados incluem Microsoft Entra, Sentinel, Defender for Cloud e Purview
- O aviso aos clientes informa que pode ter havido lacunas potenciais em logs ou eventos relacionados à segurança
- Essas lacunas podem ter afetado a capacidade de análise de dados, detecção de ameaças e geração de alertas de segurança
- A Microsoft não respondeu a perguntas detalhadas sobre a falha de logging, mas o corporate vice president John Sheehan confirmou que a causa foi “um bug operacional em um agente interno de monitoramento”
- A Microsoft mitigou o problema revertendo uma alteração no serviço
- A empresa disse que notificou todos os clientes afetados e que fornecerá o suporte necessário
A questão dos logs volta à tona após a invasão ligada à China em 2023
- Esta falha ocorreu um ano depois de a Microsoft ter sido criticada em 2023 por investigadores federais dos EUA por não fornecer logs de segurança a alguns órgãos do governo federal americano
- Na época, os investigadores avaliaram que, se esses logs estivessem acessíveis, a invasão ligada à China poderia ter sido identificada muito mais cedo
- Os invasores ligados à China Storm-0558 comprometeram a rede da Microsoft e roubaram uma “skeleton key” digital
- Com essa chave, foi possível acessar sem restrições e-mails do governo dos EUA armazenados na nuvem da Microsoft
- Segundo a análise posterior do ataque cibernético feita pelo governo, o State Department conseguiu identificar a invasão porque havia comprado uma licença mais alta da Microsoft, o que lhe dava acesso aos logs de segurança dos produtos de nuvem
- Muitos outros órgãos do governo dos EUA afetados pelo ataque não tinham o mesmo direito de acesso a esses logs
- Após o ataque ligado à China, a Microsoft anunciou que, a partir de setembro de 2023, passaria a fornecer logs também para contas de nuvem em planos mais baratos
1 comentários
Comentários no Hacker News
Se você usa Azure em um ambiente de produção realista, acho que a responsabilidade é sua
Mesmo que me dessem US$ 100 mil em créditos gratuitos, não teriam me convencido a usar por mais de um mês
É caro, a interface é extremamente hostil e, acima de tudo, por causa de coisas como esta, os produtos não parecem confiáveis o bastante para serem usados com cargas de produção
O conjunto todo parece inconsistente e remendado, então é difícil acreditar que alguém consiga fazer uma auditoria de segurança adequada
A parte mais incômoda é o login: há uma quantidade absurda de redirecionamentos e erros, e é difícil dizer que funciona como deveria
Por exemplo, tentei baixar um BAA e acabei preso em um loop de login no site confiável, mas no mesmo navegador conseguia ver o console do Azure normalmente
Saí da conta do Azure para ver se um novo login ajudaria, mas no login seguinte a autenticação de dois fatores não apareceu
Se eu fiz logout explicitamente na janela do navegador, isso deveria revogar a confiança naquele dispositivo; portanto, a autenticação de dois fatores não ser acionada me parece um grande sinal de alerta
No fim, não consegui baixar o BAA nem abrir um ticket, mas, estranhamente, um colega conseguiu baixar normalmente
Chega um ponto em que é preciso parar e pensar um pouco
Você não tinha escolhido Linux justamente porque queria um sistema em que pudesse confiar?
O último produto “bom” que fizeram foi SQL Server/Exchange/Windows 2000, e isso foi há muito tempo
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
Quase todas as equipes tinham um bug real em um aplicativo rodando em VMs, e esse app empurrava os logs da aplicação para o armazenamento
Nossa equipe também precisou reiniciar o processo para fazer os logs voltarem a fluir
Foi um incidente sev 0, e um erro difícil de corrigir, porque muitas equipes tiveram de reiniciar manualmente um agente que normalmente rodava quieto em segundo plano
A recente pane global da ClownStrike mostrou falta de testes antes da distribuição, e este problema da Microsoft mostra que algo parecido também acontece mais perto da origem do Windows
Não é uma boa aparência
Dói ver que os produtos afetados incluem Microsoft Entra, Sentinel, Defender for Cloud e Purview
O fato de o Entra, antigo Azure Active Directory, ter sido afetado é bem sério
Mas quem precisa de logs de SSO, não é?
A ignorância é uma bênção
Além disso, quando vi escrito Entra, achei que fosse Encarta e fiquei animado por um instante pensando que ainda existia
Azure Active Directory também não era um nome excelente, mas ficar renomeando tudo o tempo todo é cansativo demais
Felizmente, os sistemas de produção não estão integrados ao Entra; só coisas sem relação com clientes estão conectadas
Fico me perguntando que operação de agência de inteligência isso pode ter apoiado
Também não se deve esquecer este texto longo de pouco mais de um mês atrás
Ele resume as circunstâncias em que a Microsoft falhou em cibersegurança no exterior e parece ter deixado isso acontecer de propósito
https://www.lawenforcementtoday.com/bombshell-allegations-th...
Por outro, Schiller não parece uma testemunha totalmente confiável, e também é sugestivo que os pedidos de supervisão do governo pareçam ter sido dirigidos apenas a parlamentares republicanos MAGA extremistas
Ainda assim, concordo 100% que 1) não se deve depender de pessoal de suporte de nacionalidade estrangeira para apoiar infraestrutura essencial do governo dos EUA, e 2) todas as grandes empresas de tecnologia, incluindo hyperscalers, fazem acordos com a esfera do governo chinês por meio de operadores representantes locais como Tencent e Alicloud para fazer negócios na China
Não há supervisão suficiente sobre esses contratos e sobre as condições que permitem que pessoal do lado chinês tenha acesso direto à pilha de hardware e software
Por que admitiram isso publicamente?
É uma forma comum de a MSFT lidar com esse tipo de coisa
Azure não é bom
Especialmente o Batch Service: o agendador de tarefas não é nada preciso
Até lugares com a pior infraestrutura e práticas operacionais horríveis que já vi tinham mecanismos sofisticados para tornar algo assim praticamente impossível
Porque, quando acontece algo assim, é realmente grave
Mesmo antes deste caso, acho que eu não gostaria de colocar meu negócio sobre infraestrutura de nuvem gerenciada do Azure
Mesmo tentando fazer um experimento mental de como isso seria possível sem uma falha catastrófica do sistema inteiro, não consigo imaginar bem
Havia comentários aqui dizendo que a msft era mais amigável às empresas do que o Google
O motivo era que ela não perdia dados, mas a msft está no lado oposto da confiabilidade
Isso cheira a acobertamento
Parece algo como: “Uma vulnerabilidade da nossa plataforma apareceu no syslog dos clientes!” “Rápido, pessoal, vamos perder os logs e ganhar mais tempo”