2 puntos por GN⁺ 2024-10-22 | 1 comentarios | Compartir por WhatsApp
  • Algunos clientes cloud de Microsoft experimentaron un vacío de más de 2 semanas en sus registros de seguridad, por lo que podrían haber perdido datos necesarios para detectar intrusiones y realizar análisis posteriores
  • Del 2 al 19 de septiembre, un bug en un agente interno de monitoreo impidió la carga de algunos registros, por lo que los datos no quedaron en la plataforma interna de logging
  • Microsoft explicó que la causa fue un bug operativo, no un incidente de seguridad, y que el alcance del impacto se limitó a la “recolección de eventos de registro”
  • Entre los productos afectados se incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview, y pudo haberse producido un vacío en el análisis de datos, la detección de amenazas y la generación de alertas de seguridad para los clientes
  • Dado que, tras el incidente de intrusión vinculado a China en 2023, Microsoft había prometido ampliar la disponibilidad de registros incluso para planes de menor costo, la accesibilidad y la confiabilidad de retención de los registros de seguridad cloud vuelven a estar en discusión

Faltante de registros de seguridad en la nube de Microsoft

  • Microsoft informó a algunos clientes de sus productos cloud que faltaron más de 2 semanas de registros de seguridad
    • El período faltante va del 2 al 19 de septiembre
    • En la notificación a los clientes se indica que algunos agentes internos de monitoreo de Microsoft funcionaron mal durante la carga de datos de registro a la plataforma interna de logging
  • La falla de logging no se debió a un incidente de seguridad, y Microsoft explicó que el impacto se limitó a la “recolección de eventos de registro”
  • El logging es una función que rastrea eventos dentro de los productos y puede incluir datos como información de inicio de sesión de usuarios e intentos fallidos
    • Sin registros, podría ser más difícil identificar accesos no autorizados a las redes de los clientes durante ese período
  • Business Insider informó primero sobre la pérdida de datos de registro a comienzos de octubre
  • El investigador de seguridad Kevin Beaumont considera que la notificación enviada por Microsoft a las empresas afectadas probablemente solo sea visible para un pequeño grupo de usuarios con permisos de administrador del tenant

Productos afectados e impacto para los clientes

  • Entre los productos afectados se incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview
  • La notificación a los clientes señala que pudo haber vacíos potenciales en registros o eventos relacionados con seguridad
    • Ese vacío podría haber afectado su capacidad de análisis de datos, detección de amenazas y generación de alertas de seguridad
  • Microsoft no respondió preguntas específicas sobre la falla de logging, pero John Sheehan, corporate vice president, confirmó que la causa fue un “bug operativo en un agente interno de monitoreo”
    • Microsoft revirtió un cambio de servicio para mitigar el problema
    • La empresa dijo que notificó a todos los clientes afectados y que brindará el soporte necesario

El problema de los registros vuelve a surgir tras la intrusión vinculada a China en 2023

  • Esta falla ocurre un año después de que Microsoft recibiera críticas de investigadores federales de EE. UU. por no haber proporcionado registros de seguridad a algunos departamentos del gobierno federal estadounidense en 2023
    • En ese momento, los investigadores consideraron que, si hubieran tenido acceso a esos registros, podrían haber identificado mucho antes la intrusión vinculada a China
  • Los intrusos vinculados a China Storm-0558 ingresaron a la red de Microsoft y robaron una “skeleton key” digital
    • Con esa clave podían acceder sin restricciones a correos electrónicos del gobierno estadounidense almacenados en la nube de Microsoft
  • Según el análisis posterior del ciberataque realizado por el gobierno, el State Department identificó la intrusión porque había comprado una licencia de Microsoft de nivel superior y tenía acceso a registros de seguridad de productos cloud
    • Muchas otras agencias gubernamentales estadounidenses afectadas por el hackeo no tenían el mismo acceso a esos registros
  • Tras el hackeo vinculado a China, Microsoft anunció que a partir de septiembre de 2023 ofrecería registros también a cuentas cloud de planes de menor costo

1 comentarios

 
GN⁺ 2024-10-22
Comentarios de Hacker News
  • Si usas Azure en un entorno de producción realista, yo diría que la responsabilidad es tuya
    Ni aunque me dieran 100 mil dólares en créditos gratis habrían logrado convencerme de usarlo más de un mes
    Es caro, la interfaz es muy poco amigable y, sobre todo por cosas como esta, sus productos no parecen lo bastante confiables como para usarlos con cargas de producción

    • Cuando vienes a Azure después de usar otros proveedores de nube, hay demasiadas luces de advertencia color naranja oscuro
      Todo se siente inconsistente y como si estuviera parchado y pegado, así que cuesta creer que alguien pueda hacerle una auditoría de seguridad seria
      La parte más incómoda es el inicio de sesión: hay redirecciones y errores absurdamente frecuentes, y cuesta creer que funcione como fue diseñado
      Por ejemplo, intenté descargar un BAA y terminé atrapado en un bucle de inicio de sesión en un sitio “de confianza”, mientras que en el mismo navegador la consola de Azure seguía funcionando perfectamente
      Cerré sesión en mi cuenta de Azure para ver si un nuevo inicio ayudaba, pero en el siguiente acceso no apareció la autenticación de dos factores
      Si cerraste sesión explícitamente en una ventana del navegador, eso debería revocar la confianza de ese dispositivo, así que que no se active la autenticación de dos factores me parece una enorme señal de alarma
      Al final no pude obtener el BAA ni abrir un ticket, pero extrañamente un colega sí pudo descargarlo sin problemas
    • Hace poco me dio risa ver en cierto lugar que querían instalar software de MS en todas las máquinas Linux para integrarlas con Azure
      En ese punto conviene detenerse un momento y pensar
      ¿No se eligió Linux justamente porque se quería un sistema confiable desde el principio?
    • No quiero sonar como troll con eso de “podrían hacerlo mejor”, pero de verdad creo que no pueden
      El último producto “bueno” que hicieron fue SQL Server/Exchange/Windows 2000, y eso fue hace muchísimo tiempo
    • Por dentro también es así: “Ni siquiera LinkedIn está tan metido en la nube de Microsoft: abandona su migración a Azure”
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • Lamentablemente, este tipo de decisiones las toma la alta dirección, y ellos solo siguen la moda
  • Casi todos los equipos tenían un bug real en las aplicaciones que corrían en VMs, y esas apps eran las que empujaban los logs de aplicación al almacenamiento
    Nuestro equipo también tuvo que reiniciar el proceso para que los logs volvieran a fluir
    Fue un incidente sev 0, y no era un error fácil de arreglar porque muchísimos equipos tuvieron que reiniciar manualmente agentes que normalmente corrían silenciosamente en segundo plano

    • Da la impresión de que, si Microsoft hiciera pruebas automatizadas con una profundidad razonable, estas cosas no seguirían pasando
      La caída global reciente de ClownStrike mostró la falta de pruebas antes del despliegue, y este problema de Microsoft muestra que eso también está ocurriendo del lado más fundamental de Windows
      No se ve nada bien
    • Me pregunto si esto habla de algo interno de Microsoft o de algo vivido desde la perspectiva de un cliente
  • Duele ver que entre los productos afectados estuvieran Microsoft Entra, Sentinel, Defender for Cloud y Purview
    Que Entra, antes Azure Active Directory, haya sido afectado es bastante serio
    Pero bueno, ¿quién necesita logs de SSO?

    • Hubo una época en la que mirábamos al cielo sin pensar que un asteroide iba a caer sobre la Tierra
      La ignorancia es dicha
      Además, cuando vi que decía Entra, por un momento pensé que era Encarta y me emocioné creyendo que todavía existía
    • Dios mío, Microsoft debería escoger un nombre y quedarse con él
      Azure Active Directory tampoco era un gran nombre, pero estarle cambiando la marca a todo todo el tiempo ya cansa demasiado
    • En español, entra significa “ven/entra”, así que da para muchos chistes
    • Nosotros sí los necesitamos. Tenemos obligaciones de cumplimiento
      Por suerte, los sistemas de producción no están integrados con Entra; solo están conectadas cosas que no tienen relación con los clientes
    • Si no hay logs, tampoco hubo intrusión
  • Me pregunto qué tipo de operación de inteligencia habrá sido apoyada por esto

    • Nosotros le decimos APT -1, o sea Microsoft
    • Nada de eso. La infraestructura interna de logging de Microsoft es de los 90
  • Tampoco hay que olvidar este texto largo de hace poco más de un mes
    Resume cómo Microsoft ha fallado en ciberseguridad internacional y da la impresión de que lo ha dejado así a propósito
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • Por un lado, ese informe sí tiene contenido importante
      Por otro, Schiller no parece un testigo completamente confiable, y también dice bastante que las personas a las que pidió supervisión del gobierno parecen limitarse a congresistas republicanos MAGA de línea dura
      Aun así, coincido al 100% en que 1) no se debería depender de personal de soporte extranjero para sostener infraestructura crítica del gobierno de EE. UU., y 2) todas las grandes empresas tecnológicas, incluidos los hyperscalers, para operar en China terminan haciendo acuerdos con entidades locales intermediarias como Tencent o Alicloud dentro de la jurisdicción del gobierno chino
      No hay suficiente supervisión de esos contratos ni de las condiciones que permiten al personal del lado chino acceder directamente al stack de hardware y software
  • ¿Por qué habrán admitido esto públicamente?

    • Porque los descubrieron escondiendo el reporte dentro de herramientas a las que la mayoría de los equipos de seguridad no puede acceder
    • Probablemente quieran ir preparando el terreno para que no parezca una noticia tan grande cuando tengan que admitir que un actor extranjero borró los logs
      Es una forma bastante típica en la que MSFT maneja estas cosas
  • Azure apesta
    En especial Batch Service: su planificador de trabajos no es nada preciso

  • Incluso los lugares con la peor infraestructura y las prácticas operativas más horribles que he visto tienen mecanismos lo bastante sofisticados como para que algo así sea prácticamente imposible
    Porque si esto pasa, es realmente grave
    Incluso antes de esto, no creo que hubiera querido montar mi negocio sobre infraestructura cloud administrada de Azure
    Intento hacer el ejercicio mental de cómo algo así puede ser posible sin una falla catastrófica de todo el sistema, y sinceramente no me entra en la cabeza

  • Aquí había comentarios diciendo que msft era más amigable para empresas que Google
    La razón era que no perdía datos, pero msft está del lado opuesto de la confiabilidad

  • Huele a encubrimiento
    Suena a: “¡La vulnerabilidad de nuestra plataforma quedó expuesta en el syslog del cliente!” “Rápido todos, perdamos los logs y ganemos más tiempo”