„Microsoft“ įspėja verslo klientus, kad beveik mėnesį dėl klaidos buvo iš dalies prarasti svarbūs žurnalai, todėl kyla pavojus įmonėms, kurios remiasi šiais duomenimis, kad aptiktų neteisėtą veiklą.
Apie problemą pirmą kartą pranešė „Business Insider“, kuri pranešė, kad „Microsoft“ pradėjo informuoti klientus, kad jų registravimo duomenys nebuvo nuosekliai renkami nuo rugsėjo 2 d. iki rugsėjo 19 d.
Į prarastus žurnalus įtraukiami saugos duomenys, dažniausiai naudojami stebint įtartiną srautą, elgesį ir bandymus prisijungti prie tinklo, todėl padidėja tikimybė, kad atakos liktų nepastebėtos.
Preliminari apžvalga po incidento (PIR), išsiųsta klientams ir pasidalinta Microsoft MVP Joao Ferreira, atskleidžia šią problemą, sakydama, kad kai kurių paslaugų registravimo problemos buvo blogesnės ir tęsėsi iki spalio 3 d.
„Microsoft“ apžvalgoje teigiama, kad buvo paveiktos šios paslaugos, kurių kiekvienoje žurnalo trikdžių laipsnis buvo įvairus:
- Microsoft Entra: Galimai neužbaigti prisijungimo žurnalai ir veiklos žurnalai. Taip pat buvo paveikti „Entra“ žurnalai, perduodami per „Azure Monitor“ į „Microsoft Security“ produktus, įskaitant „Microsoft Sentinel“, „Microsoft Purview“ ir „Microsoft Defender for Cloud“.
- Azure Logic programos: Patirtos protarpinės telemetrijos duomenų spragos žurnalų analizės, išteklių žurnalų ir diagnostikos nustatymuose iš „Logic Apps“.
- Azure Healthcare API: Iš dalies neišsamūs diagnostikos žurnalai.
- Microsoft Sentinel: Galimos spragos su sauga susijusiuose žurnaluose arba įvykiuose, turinčios įtakos klientų gebėjimui analizuoti duomenis, aptikti grėsmes arba generuoti saugos įspėjimus.
- Azure monitorius: Vykdant užklausas, pagrįstas paveiktų paslaugų žurnalo duomenimis, pastebėtos spragos arba sumažėję rezultatai. Tais atvejais, kai klientai sukonfigūravo įspėjimus pagal šiuos žurnalo duomenis, įspėjimai galėjo būti paveikti.
- „Azure Trusted Signing“: Buvo iš dalies neišsamūs „SignTransaction“ ir „SignHistory“ žurnalai, dėl kurių sumažėjo pasirašymo žurnalo apimtis ir per mažas atsiskaitymas.
- Azure virtualus darbalaukis: „Application Insights“ iš dalies neužbaigta. Pagrindinis AVD ryšys ir funkcionalumas nebuvo paveikti.
- Maitinimo platforma: Patirkite nedidelių neatitikimų, turinčių įtakos duomenims įvairiose ataskaitose, įskaitant „Analytics“ ataskaitas administratoriaus ir kūrėjo portale, licencijavimo ataskaitas, duomenų eksportavimą į „Data Lake“, „Application Insights“ ir veiklos registravimą.
„Microsoft“ teigia, kad registravimo gedimą sukėlė klaida, įvesta sprendžiant kitą įmonės žurnalų rinkimo tarnybos problemą.
„Pradinis pakeitimas buvo susijęs su registravimo paslaugos apribojimu, tačiau įdiegus, jis netyčia sukėlė aklavietės būseną, kai agentas buvo nukreiptas greitai kintančiu būdu pakeisti telemetrijos įkėlimo galutinį tašką, kol buvo vykdomas siuntimas į pradinį Galutinis taškas lėmė laipsnišką siuntimo komponento gijų aklavietę, neleidžiančią agentui įkelti telemetrijos. Aklavietė paveikė tik agento išsiuntimo mechanizmą, kuris veikė normaliai, įskaitant duomenų rinkimą ir įtraukimą į agento vietinę patvariąją atmintį. Agento arba OS paleidimas iš naujo pašalina aklavietę, o agentas įkelia duomenis, kuriuos turi vietinėje talpykloje. Buvo atvejų, kai agento surinktų žurnalo duomenų kiekis buvo didesnis nei vietinio agento talpyklos limitas prieš paleidžiant iš naujo. įvyko, ir tokiais atvejais agentas perrašė seniausius duomenis talpykloje (apvalus buferis išsaugo naujausius duomenis iki dydžio ribos). Žurnalo duomenys, viršijantys talpyklos dydžio apribojimą, negali būti atkurti.
❖ Microsoft
„Microsoft“ teigia, kad nors jie ištaisė klaidą taikydami saugaus diegimo praktiką, jiems nepavyko nustatyti naujos problemos ir prireikė kelių dienų ją aptikti.
„Microsoft“ korporacijos viceprezidentas Johnas Sheehanas pranešime „TechCrunch“ teigė, kad klaida jau pašalinta ir apie tai buvo pranešta visiems klientams.
Tačiau kibernetinio saugumo ekspertas Kevinas Beaumontas teigia žinantis mažiausiai dvi įmones, kuriose trūksta žurnalo duomenų, kurios negavo pranešimų.
Šis incidentas įvyko praėjus metams po to, kai „Microsoft“ sulaukė CISA ir įstatymų leidėjų kritikos dėl to, kad nepateikė tinkamų žurnalo duomenų, kad būtų galima nemokamai aptikti pažeidimus, o reikalaujama, kad klientai už tai susimokėtų.
2023 m. liepos mėn. Kinijos įsilaužėliai pavogė „Microsoft“ pasirašymo raktą, kuris leido jiems pažeisti įmonių ir vyriausybės „Microsoft Exchange“ ir „Microsoft 365“ paskyras bei pavogti el.
Nors „Microsoft“ vis dar nenustatė, kaip buvo pavogtas raktas, JAV vyriausybė pirmiausia aptiko atakas naudodama pažangius „Microsoft“ registravimo duomenis.
Tačiau šios išplėstinės registravimo galimybės buvo prieinamos tik „Microsoft“ klientams, kurie mokėjo už „Microsoft Purview Audit“ („Premium“) registravimo funkciją.
Dėl šios priežasties „Microsoft“ buvo plačiai kritikuojama už tai, kad nepateikė šių papildomų registravimo duomenų nemokamai, kad organizacijos galėtų greitai aptikti pažangias atakas.
Bendradarbiaudama su CISA, Valdymo ir biudžeto biuru (OMB) ir Nacionalinio kibernetinio direktoriaus biuru (ONCD), „Microsoft“ 2024 m. vasario mėn. išplėtė nemokamas registravimo galimybes visiems „Purview Audit“ standarto klientams.
