Компанія Microsoft визнала, що не змогла зібрати важливі журнали безпеки протягом місяця через помилку, залишивши корпоративних клієнтів вразливими до кібератак, повідомляє SCO.
Проблема, яка виникла між 2 вересня та 3 жовтня, порушила збір життєво важливих журналів даних, які використовуються для моніторингу підозрілої активності, такої як несанкціоновані входи або мережеві аномалії. Постраждалі сервіси включають Microsoft Entra, Azure Logic Apps, Microsoft Sentinel та Azure Monitor.
Проблема, про яку вперше повідомило видання Business Insider, призвела до неповної передачі даних безпеки, на яких багато організацій покладаються для виявлення потенційних загроз.
Microsoft визнала серйозність інциденту у попередньому огляді після інциденту (PIR), надісланому клієнтам, який пізніше був опублікований експертом Microsoft MVP Жоао Феррейро.
У звіті підтверджено, що проблеми з журналами тривали на деяких сервісах до 3 жовтня. Особливо постраждали сервіси, такі як Microsoft Entra, яка займається входами й активністю користувачів, та Azure Logic Apps, що відповідає за телеметричні дані.
«Починаючи з 23:00 UTC 2 вересня 2024 року, помилка в одному з наших внутрішніх агентів моніторингу призвела до збою деяких агентів під час завантаження журналів даних до нашої внутрішньої платформи логування. Це призвело до частково неповних даних журналів для постраждалих сервісів Microsoft», — йдеться у повідомленні.
Як це сталося?
Microsoft випадково ввела помилку під час усунення іншої проблеми у сервісі збору журналів.
«Наше розслідування показує, що під час вирішення помилки у сервісі збору журналів ми виявили непов’язану помилку у внутрішньому агенті моніторингу, яка завадила деяким агентам завантажувати дані подій журналів», — йдеться у документі PIR.
Microsoft пояснила, що ця помилка спричинила deadlock condition, що перешкоджало завантаженню журналів на сервери. Хоча агент продовжував збирати та зберігати дані у локальному кеші, якщо цей кеш досягав свого ліміту до перезавантаження системи, старі журнали замінювалися новими, що призводило до постійної втрати даних.
«Під час розслідування цієї помилки ми визначили, що цей інцидент не був пов’язаний із жодними компрометаціями безпеки», — зазначається у звіті.
Вплив на моніторинг безпеки
Microsoft визнала, що збій у зборі журналів вплинув на низку ключових сервісів. Інструмент безпеки Microsoft Sentinel мав пропуски у журналах, що ускладнювало для клієнтів виявлення загроз і створення сповіщень. Azure Monitor, ще один важливий інструмент для аналізу безпеки, також зіткнувся із неповними даними, що могло призвести до пропущених сповіщень для підприємств.
Microsoft Entra зазнала проблем із журналами входу й активності, тоді як Azure Logic Apps мала перебої в телеметричних даних. Хоча основні функції цих сервісів залишалися незачепленими, нездатність зібрати критичні журнали даних суттєво ослабила можливості клієнтів моніторити події безпеки.
Компанія зазначила, що дані журналів було втрачено через збій у телеметричному агенті, що спричинило накопичення журналів до моменту, коли дані були перезаписані через досягнення ліміту кешу.
Однак у компанії підкреслили, що це питання не вплинуло на час безперебійної роботи жодних сервісів чи ресурсів, що безпосередньо взаємодіють із клієнтами, і стосувалося лише збору журналів подій.
Незважаючи на серйозність інциденту, Microsoft знадобилося кілька днів, щоб виявити проблему, що ще більше подовжило ризики для постраждалих компаній. Хоча Microsoft заявила, що усунула помилку та повідомила всіх постраждалих клієнтів, деякі організації стверджують, що не отримали інформацію про проблему.
Це не вперше
Інцидент привернув нову увагу до практик ведення журналів Microsoft, особливо з огляду на попередню критику компанії за те, що вона стягувала плату із клієнтів за розширені функції збору журналів.
У 2023 році CISA критикувала корпорацію за те, що та не надавала достатньо даних для виявлення зламів безкоштовно, змушуючи при цьому клієнтів платити за преміум-функцію Purview Audit.
Критика загострилася після того, як китайські хакери використали вкрадений ключ підпису Microsoft для зламу корпоративних та урядових акаунтів Microsoft 365 у 2023 році. Злам було виявлено за допомогою платних функцій журналів Microsoft, через що багато клієнтів не мали необхідних інструментів для ідентифікації атаки.
Після цієї критики Microsoft співпрацювала з CISA й іншими федеральними агентствами для розширення безкоштовного доступу до функцій журналів. У лютому 2024 року компанія почала надавати покращені функції журналів усім клієнтам Purview Audit Standard, що дозволило ширший доступ до даних для виявлення загроз.
Хоча Microsoft вжила заходів для підвищення прозорості щодо журналів і розширила доступ до своїх розширених інструментів, ця остання помилка підкреслює важливу роль журналів у кібербезпеці. Інцидент слугує нагадуванням про важливість даних журналів у виявленні несанкціонованого доступу та висвітлює виклики, з якими стикаються організації, коли ці дані втрачаються.
Читайте також на ProIT: Windows Security vs. Microsoft Defender: важливі відмінності, які вам варто знати.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
