Microsoft stracił kilkutygodniowe rejestry zabezpieczeń przechowywane w chmurze, najważniejsze dla jego klientów w procesie monitorowania i wykrywania cyberataków. Dane stanowią fundament działań związanych z analizą zagrożeń, a ich brak może wpłynąć na zdolność organizacji do szybkiego reagowania na potencjalne incydenty bezpieczeństwa.
Sytuacja budzi poważne obawy o integralność systemów ochrony danych, które stanowią fundament bezpieczeństwa cyfrowego wielu firm korzystających z usług Microsoftu. To nie pierwsza wpadka przedsiębiorstwa w tym obszarze.
Do czego potrzebne są logi dla firm i organizacji?
Kompletne i dokładne rejestrowanie danych (tzw. logi) to fundament prawidłowego działania produktów zabezpieczających. Logi są niezbędne dla obrońców przedsiębiorstw oraz zespołów odpowiedzialnych za reagowanie na incydenty, umożliwiając im monitorowanie zagrożeń, analizowanie potencjalnych ataków oraz szybkie podejmowanie działań zapobiegawczych.
Bez pełnych logów skuteczna ochrona i reagowanie na cyberzagrożenia stają się znacznie trudniejsze.
To nie pierwsza wpadka Microsoftu z logami
Przypominamy incydent związany z chińskimi hakerami, którzy w zeszłym roku uzyskali dostęp do kont e-mail amerykańskich organizacji i agencji rządowych. Ujawnił on poważne braki w dostępie do logów w ekosystemie Microsoftu. Firma spotkała się wówczas z krytyką za to, iż klienci bez kont premium w Microsoft Purview Audit nie mieli dostępu do szczegółowych logów z chmury, co mogło opóźnić wykrycie włamania.
W wyniku tego incydentu Microsoft został zmuszony do wprowadzenia zmian, udostępniając logi wszystkim agencjom korzystającym z Microsoft Purview Audit, niezależnie od poziomu licencji. Ponadto firma wydłużyła domyślny okres przechowywania logów z 90 do 180 dni, co zwiększyło możliwości monitorowania i analizy działań podejmowanych na platformie. Podkreśliło to znaczenie pełnego dostępu do danych rejestrowania jako kluczowego elementu w efektywnej ochronie przed cyberatakami.
Co się stało tym razem?
Business Insider jako pierwszy poinformował o utracie danych dziennika na początku października, jednak szczegóły tego powiadomienia nie zostały szeroko upublicznione. Jak zauważył ekspert ds. bezpieczeństwa Kevin Beaumont, komunikaty, które Microsoft wysłał do dotkniętych firm, prawdopodobnie dotarły jedynie do wąskiego grona użytkowników posiadających uprawnienia administratora dzierżawy. Ograniczenie w dostępie do informacji mogło utrudnić szersze zrozumienie i szybsze reakcje na incydent w wielu organizacjach.
Microsoft prywatnie powiadomił swoich klientów dotkniętych incydentem, jednocześnie zapewniając, iż awaria „nie była związana z żadnym naruszeniem bezpieczeństwa”. Firma podkreśliła, iż problem wynikał z wewnętrznego błędu technicznego, a nie z działania cyberprzestępców.
Tym razem zawinił agent monitorowania Microsoft
Wstępna analiza opublikowana po incydencie wykazała, iż przyczyną problemu był błąd w działaniu jednego z wewnętrznych agentów monitorujących Microsoft. Agent ten uruchomił się podczas wdrażania poprawki w usłudze odpowiedzialnej za zbieranie dzienników, co doprowadziło do zakłóceń.
„Od około 23:00 UTC 2 września 2024 r. błąd w jednym z naszych wewnętrznych agentów monitorujących spowodował awarię podczas przesyłania danych dziennika do naszej wewnętrznej platformy rejestrowania. W wyniku tego niektóre dane dzienników były częściowo niekompletne w dotkniętych usługach Microsoft” – poinformowała firma w oficjalnym komunikacie.
Dwa tygodnie po wykryciu problemu, 5 września, zespoły inżynierów Microsoftu wdrożyły tymczasowe rozwiązanie polegające na okresowym ponownym uruchamianiu agenta lub serwera, co pozwoliło na częściowe przywrócenie procesu zbierania danych. Mimo tych działań część danych dzienników została bezpowrotnie utracona i nie można ich odzyskać. Incydent ten podkreśla znaczenie stabilności systemów monitorowania oraz konieczność szybkiego reagowania na tego typu błędy, aby minimalizować skutki.
Które usługi zostały dotknięte?
Incydent spowodował potencjalną niekompletność danych dzienników w kilku kluczowych usługach Microsoftu, w tym:
- Azure Logic Apps (dzienniki platformy),
- Azure Healthcare APIs (dzienniki platformy),
- Microsoft Sentinel (alerty bezpieczeństwa),
- Azure Monitor (ustawienia diagnostyczne przekierowane do Azure Monitor),
- Azure Trusted Signing (niekompletne dzienniki SignTransaction i SignHistory),
- Azure Virtual Desktop (dzienniki w Application Insights),
- Power Platform (rozbieżności danych w raportach),
- Microsoft Entra (dzienniki logowania i aktywności).
Microsoft poinformował, iż dzienniki Microsoft Entra, przesyłane przez Azure Monitor do produktów takich jak Microsoft Sentinel, Microsoft Purview i Microsoft Defender for Cloud, również zostały dotknięte. Skutkiem mogło być ograniczenie zdolności klientów do analizy danych, wykrywania zagrożeń i generowania alertów bezpieczeństwa.
Kończąc artykuł, nie pozostaje nam nic innego, jak przytoczyć cytat klasyka, św. pamięci Janusza Rewińskiego z filmu „Kiler-ów 2-óch”: „No i w pizdu”.
Mamy tylko nadzieję, iż nie wszystkie logi poszły w piach oraz iż ta sytuacja nauczy Microsoft większej pokory.