Microsoft waarschuwt zakelijke klanten dat door een bug bijna een maand lang kritieke logs gedeeltelijk verloren zijn gegaan, waardoor bedrijven die op deze gegevens vertrouwen om ongeautoriseerde activiteit op te sporen risico lopen.

Het probleem werd voor het eerst gemeld door Business Insider eerder deze maand, die rapporteerde dat Microsoft klanten had geïnformeerd dat hun loggegevens niet consistent waren verzameld tussen 2 september en 19 september.

De verloren logs omvatten beveiligingsgegevens die meestal worden gebruikt om verdacht verkeer, gedrag en inlogpogingen op een netwerk te monitoren, waardoor de kans toeneemt dat aanvallen onopgemerkt blijven.

Een voorlopig post-incident review (PIR) dat naar klanten werd gestuurd en gedeeld door Microsoft MVP Joao Ferreira biedt meer inzicht in het probleem en stelt dat de logproblemen erger waren voor sommige diensten en aanhielden tot 3 oktober.

Microsofts review stelt dat de volgende diensten werden getroffen, elk met verschillende gradaties van logonderbreking:

• Microsoft Entra: Mogelijk onvolledige inloglogs en activiteitslogs. Entra-logs die via Azure Monitor in Microsoft Security-producten stromen, waaronder Microsoft Sentinel, Microsoft Purview en Microsoft Defender voor Cloud, werden ook getroffen.
• Azure Logic Apps: Er werden intermitterende hiaten in telemetriegegevens waargenomen in Log Analytics, Resource Logs en Diagnose-instellingen van Logic Apps.
• Azure Healthcare APIs: Gedeeltelijk onvolledige diagnostische logs.
• Microsoft Sentinel: Potentiële hiaten in beveiligingsgerelateerde logs of evenementen, die het vermogen van klanten om gegevens te analyseren, bedreigingen te detecteren of beveiligingswaarschuwingen te genereren beïnvloeden.
• Azure Monitor: Waargenomen hiaten of verminderde resultaten bij het uitvoeren van query’s op basis van loggegevens van getroffen diensten. In scenario’s waar klanten waarschuwingen hadden geconfigureerd op basis van deze loggegevens, kunnen waarschuwingen beïnvloed zijn.
• Azure Trusted Signing: Er werden gedeeltelijk onvolledige SignTransaction- en SignHistory-logs ervaren, wat leidde tot een verminderd volume van ondertekenlogs en onderfacturering.
• Azure Virtual Desktop: Gedeeltelijk onvolledig in Application Insights. De belangrijkste connectiviteit en functionaliteit van AVD was niet getroffen.
• Power Platform: Ervaar kleine discrepanties die gegevens beïnvloeden in verschillende rapporten, inclusief Analytische rapporten in het Admin- en Maker-portaal, Licentierapporten, Gegevensuitvoer naar Data Lake, Application Insights en Activiteitslogboeken.

Microsoft zegt dat de loggingstoring werd veroorzaakt door een bug die werd geïntroduceerd bij het oplossen van een ander probleem in de logverzameldienst van het bedrijf.

Microsoft zegt dat ze, hoewel ze de bug hebben opgelost volgens veilige inzetpraktijken, er niet in slaagden het nieuwe probleem te identificeren en dat het enkele dagen duurde om het te detecteren.

In een verklaring aan TechCrunch zei John Sheehan, vice-president van Microsoft, dat de bug nu is opgelost en dat alle klanten op de hoogte zijn gebracht.

Echter, cybersecurityexpert Kevin Beaumont zegt dat hij weet van ten minste twee bedrijven met ontbrekende loggegevens die geen meldingen hebben ontvangen.

Dit incident vond plaats een jaar nadat Microsoft kritiek kreeg van CISA en wetgevers omdat ze geen gratis adequate loggegevens hadden verstrekt om schendingen te detecteren, maar klanten daarvoor te laten betalen.

In juli 2023 stalen Chinese hackers een Microsoft-ondertekeningssleutel waarmee ze zakelijke en overheidsaccounts van Microsoft Exchange en Microsoft 365 konden binnendringen en e-mails konden stelen.

Hoewel Microsoft nog steeds niet heeft bepaald hoe de sleutel werd gestolen, detecteerde de Amerikaanse overheid de aanvallen eerst door gebruik te maken van de geavanceerde loggegevens van Microsoft.

Deze geavanceerde logmogelijkheden waren echter alleen beschikbaar voor Microsoft-klanten die betaalden voor de Purview Audit (Premium) logfunctie van Microsoft.

Vanwege dit werd Microsoft alom bekritiseerd omdat het deze extra loggegevens niet gratis beschikbaar stelde, zodat organisaties snel geavanceerde aanvallen konden detecteren.

In samenwerking met CISA, het Office of Management and Budget (OMB) en het Office of the National Cyber Director (ONCD), breidde Microsoft in februari 2024 zijn gratis logmogelijkheden uit voor alle Purview Audit-standaardklanten.