Microsoft waarschuwt dat het een maand lang beveiligingslogboeken van sommige klanten kwijt is geraakt.

Microsoft waarschuwt zakelijke klanten dat door een bug bijna een maand lang kritieke logs gedeeltelijk verloren zijn gegaan, waardoor bedrijven die op deze gegevens vertrouwen om ongeautoriseerde activiteit op te sporen risico lopen.

Het probleem werd voor het eerst gemeld door Business Insider eerder deze maand, die rapporteerde dat Microsoft klanten had geïnformeerd dat hun loggegevens niet consistent waren verzameld tussen 2 september en 19 september.

De verloren logs omvatten beveiligingsgegevens die meestal worden gebruikt om verdacht verkeer, gedrag en inlogpogingen op een netwerk te monitoren, waardoor de kans toeneemt dat aanvallen onopgemerkt blijven.

Een voorlopig post-incident review (PIR) dat naar klanten werd gestuurd en gedeeld door Microsoft MVP Joao Ferreira biedt meer inzicht in het probleem en stelt dat de logproblemen erger waren voor sommige diensten en aanhielden tot 3 oktober.

Microsofts review stelt dat de volgende diensten werden getroffen, elk met verschillende gradaties van logonderbreking:

  • Microsoft Entra: Mogelijk onvolledige inloglogs en activiteitslogs. Entra-logs die via Azure Monitor in Microsoft Security-producten stromen, waaronder Microsoft Sentinel, Microsoft Purview en Microsoft Defender voor Cloud, werden ook getroffen.
  • Azure Logic Apps: Er werden intermitterende hiaten in telemetriegegevens waargenomen in Log Analytics, Resource Logs en Diagnose-instellingen van Logic Apps.
  • Azure Healthcare APIs: Gedeeltelijk onvolledige diagnostische logs.
  • Microsoft Sentinel: Potentiële hiaten in beveiligingsgerelateerde logs of evenementen, die het vermogen van klanten om gegevens te analyseren, bedreigingen te detecteren of beveiligingswaarschuwingen te genereren beïnvloeden.
  • Azure Monitor: Waargenomen hiaten of verminderde resultaten bij het uitvoeren van query’s op basis van loggegevens van getroffen diensten. In scenario’s waar klanten waarschuwingen hadden geconfigureerd op basis van deze loggegevens, kunnen waarschuwingen beïnvloed zijn.
  • Azure Trusted Signing: Er werden gedeeltelijk onvolledige SignTransaction- en SignHistory-logs ervaren, wat leidde tot een verminderd volume van ondertekenlogs en onderfacturering.
  • Azure Virtual Desktop: Gedeeltelijk onvolledig in Application Insights. De belangrijkste connectiviteit en functionaliteit van AVD was niet getroffen.
  • Power Platform: Ervaar kleine discrepanties die gegevens beïnvloeden in verschillende rapporten, inclusief Analytische rapporten in het Admin- en Maker-portaal, Licentierapporten, Gegevensuitvoer naar Data Lake, Application Insights en Activiteitslogboeken.

Microsoft zegt dat de loggingstoring werd veroorzaakt door een bug die werd geïntroduceerd bij het oplossen van een ander probleem in de logverzameldienst van het bedrijf.

“De initiële aanpassing was bedoeld om een limiet in de loggebruiksdienst aan te pakken, maar toen deze werd ingezet, veroorzaakte het per ongeluk een deadlock-conditie toen de agent werd gedirigeerd om het telemetrie-upload eindpunt op een snel veranderende manier te veranderen terwijl een verzending onderweg was naar het initiële eindpunt. Dit leidde tot een geleidelijke deadlock van threads in het verzendingscomponent, waardoor de agent geen telemetrie kon uploaden. De deadlock beïnvloedde alleen het verzendmechanisme binnen de agent, terwijl andere functionaliteiten normaal werkten, inclusief het verzamelen en toewijzen van gegevens aan de lokale duurzame cache van de agent. Een herstart van de agent of het OS lost de deadlock op, en de agent uploadt de gegevens die hij in zijn lokale cache heeft bij het opstarten. Er waren situaties waarin de hoeveelheid loggegevens die door de agent was verzameld groter was dan de limiet van de lokale cache van de agent voordat een herstart plaatsvond, en in deze gevallen overschreef de agent de oudste gegevens in de cache (cirkelbuffermethode behoudt de meest recente gegevens, tot aan de limiet). De loggegevens die de cachelimiet overschrijden zijn niet te herstellen.”

❖ Microsoft

Microsoft zegt dat ze, hoewel ze de bug hebben opgelost volgens veilige inzetpraktijken, er niet in slaagden het nieuwe probleem te identificeren en dat het enkele dagen duurde om het te detecteren.

In een verklaring aan TechCrunch zei John Sheehan, vice-president van Microsoft, dat de bug nu is opgelost en dat alle klanten op de hoogte zijn gebracht.

Echter, cybersecurityexpert Kevin Beaumont zegt dat hij weet van ten minste twee bedrijven met ontbrekende loggegevens die geen meldingen hebben ontvangen.

Dit incident vond plaats een jaar nadat Microsoft kritiek kreeg van CISA en wetgevers omdat ze geen gratis adequate loggegevens hadden verstrekt om schendingen te detecteren, maar klanten daarvoor te laten betalen.

In juli 2023 stalen Chinese hackers een Microsoft-ondertekeningssleutel waarmee ze zakelijke en overheidsaccounts van Microsoft Exchange en Microsoft 365 konden binnendringen en e-mails konden stelen.

Hoewel Microsoft nog steeds niet heeft bepaald hoe de sleutel werd gestolen, detecteerde de Amerikaanse overheid de aanvallen eerst door gebruik te maken van de geavanceerde loggegevens van Microsoft.

Deze geavanceerde logmogelijkheden waren echter alleen beschikbaar voor Microsoft-klanten die betaalden voor de Purview Audit (Premium) logfunctie van Microsoft.

Vanwege dit werd Microsoft alom bekritiseerd omdat het deze extra loggegevens niet gratis beschikbaar stelde, zodat organisaties snel geavanceerde aanvallen konden detecteren.

In samenwerking met CISA, het Office of Management and Budget (OMB) en het Office of the National Cyber Director (ONCD), breidde Microsoft in februari 2024 zijn gratis logmogelijkheden uit voor alle Purview Audit-standaardklanten.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----