Microsoft anuncia la pérdida de semanas de registros de seguridad de productos cloud de sus clientes
(techcrunch.com)- Algunos clientes cloud de Microsoft experimentaron un vacío de más de 2 semanas en sus registros de seguridad, por lo que podrían haber perdido datos necesarios para detectar intrusiones y realizar análisis posteriores
- Del 2 al 19 de septiembre, un bug en un agente interno de monitoreo impidió la carga de algunos registros, por lo que los datos no quedaron en la plataforma interna de logging
- Microsoft explicó que la causa fue un bug operativo, no un incidente de seguridad, y que el alcance del impacto se limitó a la “recolección de eventos de registro”
- Entre los productos afectados se incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview, y pudo haberse producido un vacío en el análisis de datos, la detección de amenazas y la generación de alertas de seguridad para los clientes
- Dado que, tras el incidente de intrusión vinculado a China en 2023, Microsoft había prometido ampliar la disponibilidad de registros incluso para planes de menor costo, la accesibilidad y la confiabilidad de retención de los registros de seguridad cloud vuelven a estar en discusión
Faltante de registros de seguridad en la nube de Microsoft
- Microsoft informó a algunos clientes de sus productos cloud que faltaron más de 2 semanas de registros de seguridad
- El período faltante va del 2 al 19 de septiembre
- En la notificación a los clientes se indica que algunos agentes internos de monitoreo de Microsoft funcionaron mal durante la carga de datos de registro a la plataforma interna de logging
- La falla de logging no se debió a un incidente de seguridad, y Microsoft explicó que el impacto se limitó a la “recolección de eventos de registro”
- El logging es una función que rastrea eventos dentro de los productos y puede incluir datos como información de inicio de sesión de usuarios e intentos fallidos
- Sin registros, podría ser más difícil identificar accesos no autorizados a las redes de los clientes durante ese período
- Business Insider informó primero sobre la pérdida de datos de registro a comienzos de octubre
- El investigador de seguridad Kevin Beaumont considera que la notificación enviada por Microsoft a las empresas afectadas probablemente solo sea visible para un pequeño grupo de usuarios con permisos de administrador del tenant
Productos afectados e impacto para los clientes
- Entre los productos afectados se incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview
- La notificación a los clientes señala que pudo haber vacíos potenciales en registros o eventos relacionados con seguridad
- Ese vacío podría haber afectado su capacidad de análisis de datos, detección de amenazas y generación de alertas de seguridad
- Microsoft no respondió preguntas específicas sobre la falla de logging, pero John Sheehan, corporate vice president, confirmó que la causa fue un “bug operativo en un agente interno de monitoreo”
- Microsoft revirtió un cambio de servicio para mitigar el problema
- La empresa dijo que notificó a todos los clientes afectados y que brindará el soporte necesario
El problema de los registros vuelve a surgir tras la intrusión vinculada a China en 2023
- Esta falla ocurre un año después de que Microsoft recibiera críticas de investigadores federales de EE. UU. por no haber proporcionado registros de seguridad a algunos departamentos del gobierno federal estadounidense en 2023
- En ese momento, los investigadores consideraron que, si hubieran tenido acceso a esos registros, podrían haber identificado mucho antes la intrusión vinculada a China
- Los intrusos vinculados a China Storm-0558 ingresaron a la red de Microsoft y robaron una “skeleton key” digital
- Con esa clave podían acceder sin restricciones a correos electrónicos del gobierno estadounidense almacenados en la nube de Microsoft
- Según el análisis posterior del ciberataque realizado por el gobierno, el State Department identificó la intrusión porque había comprado una licencia de Microsoft de nivel superior y tenía acceso a registros de seguridad de productos cloud
- Muchas otras agencias gubernamentales estadounidenses afectadas por el hackeo no tenían el mismo acceso a esos registros
- Tras el hackeo vinculado a China, Microsoft anunció que a partir de septiembre de 2023 ofrecería registros también a cuentas cloud de planes de menor costo
1 comentarios
Comentarios de Hacker News
Si usas Azure en un entorno de producción realista, yo diría que la responsabilidad es tuya
Ni aunque me dieran 100 mil dólares en créditos gratis habrían logrado convencerme de usarlo más de un mes
Es caro, la interfaz es muy poco amigable y, sobre todo por cosas como esta, sus productos no parecen lo bastante confiables como para usarlos con cargas de producción
Todo se siente inconsistente y como si estuviera parchado y pegado, así que cuesta creer que alguien pueda hacerle una auditoría de seguridad seria
La parte más incómoda es el inicio de sesión: hay redirecciones y errores absurdamente frecuentes, y cuesta creer que funcione como fue diseñado
Por ejemplo, intenté descargar un BAA y terminé atrapado en un bucle de inicio de sesión en un sitio “de confianza”, mientras que en el mismo navegador la consola de Azure seguía funcionando perfectamente
Cerré sesión en mi cuenta de Azure para ver si un nuevo inicio ayudaba, pero en el siguiente acceso no apareció la autenticación de dos factores
Si cerraste sesión explícitamente en una ventana del navegador, eso debería revocar la confianza de ese dispositivo, así que que no se active la autenticación de dos factores me parece una enorme señal de alarma
Al final no pude obtener el BAA ni abrir un ticket, pero extrañamente un colega sí pudo descargarlo sin problemas
En ese punto conviene detenerse un momento y pensar
¿No se eligió Linux justamente porque se quería un sistema confiable desde el principio?
El último producto “bueno” que hicieron fue SQL Server/Exchange/Windows 2000, y eso fue hace muchísimo tiempo
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
Casi todos los equipos tenían un bug real en las aplicaciones que corrían en VMs, y esas apps eran las que empujaban los logs de aplicación al almacenamiento
Nuestro equipo también tuvo que reiniciar el proceso para que los logs volvieran a fluir
Fue un incidente sev 0, y no era un error fácil de arreglar porque muchísimos equipos tuvieron que reiniciar manualmente agentes que normalmente corrían silenciosamente en segundo plano
La caída global reciente de ClownStrike mostró la falta de pruebas antes del despliegue, y este problema de Microsoft muestra que eso también está ocurriendo del lado más fundamental de Windows
No se ve nada bien
Duele ver que entre los productos afectados estuvieran Microsoft Entra, Sentinel, Defender for Cloud y Purview
Que Entra, antes Azure Active Directory, haya sido afectado es bastante serio
Pero bueno, ¿quién necesita logs de SSO?
La ignorancia es dicha
Además, cuando vi que decía Entra, por un momento pensé que era Encarta y me emocioné creyendo que todavía existía
Azure Active Directory tampoco era un gran nombre, pero estarle cambiando la marca a todo todo el tiempo ya cansa demasiado
Por suerte, los sistemas de producción no están integrados con Entra; solo están conectadas cosas que no tienen relación con los clientes
Me pregunto qué tipo de operación de inteligencia habrá sido apoyada por esto
Tampoco hay que olvidar este texto largo de hace poco más de un mes
Resume cómo Microsoft ha fallado en ciberseguridad internacional y da la impresión de que lo ha dejado así a propósito
https://www.lawenforcementtoday.com/bombshell-allegations-th...
Por otro, Schiller no parece un testigo completamente confiable, y también dice bastante que las personas a las que pidió supervisión del gobierno parecen limitarse a congresistas republicanos MAGA de línea dura
Aun así, coincido al 100% en que 1) no se debería depender de personal de soporte extranjero para sostener infraestructura crítica del gobierno de EE. UU., y 2) todas las grandes empresas tecnológicas, incluidos los hyperscalers, para operar en China terminan haciendo acuerdos con entidades locales intermediarias como Tencent o Alicloud dentro de la jurisdicción del gobierno chino
No hay suficiente supervisión de esos contratos ni de las condiciones que permiten al personal del lado chino acceder directamente al stack de hardware y software
¿Por qué habrán admitido esto públicamente?
Es una forma bastante típica en la que MSFT maneja estas cosas
Azure apesta
En especial Batch Service: su planificador de trabajos no es nada preciso
Incluso los lugares con la peor infraestructura y las prácticas operativas más horribles que he visto tienen mecanismos lo bastante sofisticados como para que algo así sea prácticamente imposible
Porque si esto pasa, es realmente grave
Incluso antes de esto, no creo que hubiera querido montar mi negocio sobre infraestructura cloud administrada de Azure
Intento hacer el ejercicio mental de cómo algo así puede ser posible sin una falla catastrófica de todo el sistema, y sinceramente no me entra en la cabeza
Aquí había comentarios diciendo que msft era más amigable para empresas que Google
La razón era que no perdía datos, pero msft está del lado opuesto de la confiabilidad
Huele a encubrimiento
Suena a: “¡La vulnerabilidad de nuestra plataforma quedó expuesta en el syslog del cliente!” “Rápido todos, perdamos los logs y ganemos más tiempo”