Microsoft advierte a los clientes empresariales que durante casi un mes, un error provocó una pérdida parcial de registros críticos, poniendo en riesgo a las empresas que dependen de estos datos para detectar actividades no autorizadas.
El problema fue reportado por primera vez por Información privilegiada sobre negocios a principios de este mes, que informó que Microsoft había comenzado a notificar a los clientes que sus datos de registro no se recopilaron de manera consistente entre el 2 y el 19 de septiembre.
Los registros perdidos incluyen datos de seguridad comúnmente utilizados para monitorear el tráfico, el comportamiento y los intentos de inicio de sesión sospechosos en una red, lo que aumenta las posibilidades de que los ataques pasen desapercibidos.
A Examen preliminar posterior al incidente (PIR) enviado a los clientes y compartido por el MVP de Microsoft, Joao Ferreira, arroja más luz sobre el problema y dice que los problemas de registro fueron peores para algunos servicios y continuaron hasta el 3 de octubre.
La revisión de Microsoft indica que los siguientes servicios se vieron afectados, cada uno con distintos grados de interrupción del registro:
- Entrada de Microsoft: Registros de conexión y registros de actividad potencialmente incompletos. Los registros de entrada que fluyen a través de Azure Monitor hacia los productos de seguridad de Microsoft, incluidos Microsoft Sentinel, Microsoft Purview y Microsoft Defender for Cloud, también se vieron afectados.
- Aplicaciones lógicas de Azure: Experimentamos lagunas intermitentes en los datos de telemetría en la configuración de Logic Apps Log Analytics, los registros de recursos y la configuración de diagnóstico.
- API de atención médica de Azure: Registros de diagnóstico parcialmente incompletos.
- Centinela de Microsoft: Posibles brechas en registros o eventos relacionados con la seguridad, que afectan la capacidad de los clientes para analizar datos, detectar amenazas o generar alertas de seguridad.
- Monitor de Azure: Se observaron lagunas o resultados reducidos al ejecutar consultas basadas en datos de registro de los servicios afectados. En escenarios en los que los clientes configuraron alertas en función de estos datos de registro, es posible que las alertas se hayan visto afectadas.
- Firma confiable de Azure: Registros de SignTransaction y SignHistory parcialmente incompletos, lo que da como resultado una reducción del volumen de registros de firmas y una facturación insuficiente.
- Escritorio virtual de Azure: Parcialmente incompleto en Application Insights. La conectividad AVD y la funcionalidad principal no se han visto afectadas.
- Plataforma eléctrica: Está experimentando discrepancias menores que afectan los datos en varios informes, incluidos los informes de Analytics en el portal Admin y Maker, los informes de licencias, las exportaciones de datos a Data Lake, Application Insights y el registro de actividad.
Microsoft dice que la falla en el registro fue causada por un error introducido al solucionar otro problema en el servicio de recopilación de registros de la compañía.
“El cambio inicial tenía como objetivo abordar una limitación en el servicio de registro, pero una vez implementado, inadvertidamente desencadenó una condición de punto muerto cuando se le pidió al agente que cambiara el punto final de carga de telemetría de una manera que escalara rápidamente mientras se realizaba un envío al punto final inicial Esto provocó que los subprocesos en el componente de envío se bloquearan progresivamente, lo que impidió que el agente descargara la telemetría. El bloqueo solo afectó al mecanismo de envío dentro del agente, mientras que otras funciones funcionaban normalmente, incluida la recopilación y validación de datos en la memoria caché duradera local del agente. Un reinicio del agente o del sistema operativo resuelve el punto muerto y el agente descarga los datos contenidos en su caché local al inicio. En algunas situaciones, la cantidad de datos de registro recopilados por el agente fue mayor que el límite de la caché del agente local. antes de un reinicio. ocurrió y, en estos casos, el agente sobrescribió los datos más antiguos en el caché (el búfer circular mantiene los datos más recientes, hasta el límite de tamaño). Los datos de registro que superen el límite de tamaño de la caché no se pueden recuperar”.
❖Microsoft
Microsoft afirma que, aunque solucionaron el error siguiendo prácticas de implementación segura, no lograron identificar el nuevo problema y les tomó algunos días detectarlo.
En una declaración a TechCrunchEl vicepresidente de Microsoft, John Sheehan, dijo que el error ya está solucionado y que todos los clientes han sido notificados.
Sin embargo, un experto en ciberseguridad Kevin Beaumont dice que conoce al menos dos empresas a las que les faltan datos de registro que no recibieron notificaciones.
Este incidente se produjo un año después de que CISA y los legisladores criticaran a Microsoft por no proporcionar datos de registro adecuados para detectar infracciones de forma gratuita, exigiendo en cambio que los clientes pagaran por ello.
En julio de 2023, piratas informáticos chinos robaron una clave de firma de Microsoft que les permitió piratear cuentas corporativas y gubernamentales de Microsoft Exchange y Microsoft 365 y robar correos electrónicos.
Aunque Microsoft aún no ha determinado cómo se robó la clave, el gobierno de EE. UU. detectó por primera vez los ataques utilizando los datos de registro avanzados de Microsoft.
Sin embargo, estas funciones de registro avanzadas solo estaban disponibles para los clientes de Microsoft que pagaban por Auditoría de competencia de Microsoft (Premium) función de registro.
Por este motivo, Microsoft ha sido ampliamente criticado por no proporcionar estos datos de registro adicionales de forma gratuita para que las organizaciones puedan detectar rápidamente ataques avanzados.
En colaboración con CISA, la Oficina de Gestión y Presupuesto (OMB) y la Oficina del Director Cibernético Nacional (ONCD), Microsoft amplió sus capacidades de registro gratuito para todos los clientes estándar de Purview Audit en febrero de 2024.