A Microsoft notificou os clientes de que alguns logs de segurança de seus produtos em nuvem desapareceram durante um período de duas semanas em setembro, deixando os defensores da rede com um potencial ponto cego na detecção de possíveis invasões.
De acordo com um aviso enviado aos clientes afetados, a Microsoft disse que “um erro em um dos agentes de monitoramento interno da Microsoft causou o mau funcionamento de alguns agentes ao transmitir dados de log para nossa plataforma de registro interna” entre 2 e 19 de setembro.
A notificação afirmou que a interrupção do registro não foi devido a um incidente de segurança e “afetou apenas a coleta de eventos de log”.
Especialista em negócios relatado pela primeira vez perda de dados de registro no início de outubro. Os detalhes da notificação não foram amplamente divulgados. Como ele percebeu pesquisador de segurança Kevin Beaumontas notificações que a Microsoft envia às agências afetadas pela desvantagem provavelmente estarão disponíveis apenas para alguns usuários com privilégios de administrador de locatário.
O registro em log ajuda a rastrear eventos de produtos, como informações de login de usuários e tentativas malsucedidas, o que pode ajudar os defensores da rede a identificar invasões suspeitas. A falta de registos pode dificultar a identificação de acessos não autorizados às redes dos clientes durante este período de duas semanas.
De acordo com um relatório do Enterprise Insider, os produtos afetados incluem Microsoft Entra, Sentinel, Defender for Cloud e Purview. Os clientes afetados “podem ter experimentado vulnerabilidades potenciais em logs ou eventos de segurança, possivelmente impactando a capacidade dos clientes de analisar dados, detectar ameaças ou gerar alertas de segurança”, afirma o aviso.
A Microsoft não respondeu a perguntas específicas sobre a interrupção do login, mas um executivo da Microsoft confirmou ao TechCrunch que o incidente foi causado por um “erro operacional em nosso agente de monitoramento interno”.
“Resolvemos a desvantagem revertendo a mudança de serviço. Entramos em contato com todos os clientes afetados pela desvantagem e forneceremos suporte conforme necessário”, disse John Sheehan, vice-presidente corporativo da Microsoft.
A interrupção do registro ocorre um ano depois que a Microsoft foi criticada por investigadores federais por ocultar registros de segurança de certos departamentos do governo federal dos EUA que armazenam e-mails na nuvem reforçada exclusiva do governo da empresa, que os investigadores dizem que acessou esses registros poderia ter identificado uma série de China- hacks apoiados muito antes.
Intrusos apoiados pela China, chamados Storm-0558, violaram a rede da Microsoft e roubaram uma chave de backbone digital que dava aos hackers acesso irrestrito aos e-mails do governo dos EUA armazenados na nuvem da Microsoft. O Departamento de Estado identificou as invasões porque pagou por uma licença de nível superior da Microsoft que fornecia acesso aos registros de segurança de seus produtos baseados em nuvem, algo que muitas outras agências governamentais dos EUA hackeadas não fizeram, de acordo com uma seção de ataques cibernéticos emitida pelo governo. Para ter.
A Microsoft disse que acompanhou ataques de hackers apoiados pela China começaria a fornecer registros para suas contas na nuvem com salários mais baixos a partir de setembro de 2023.
A página da Web de Carly contribuiu com relatórios.
