Microsoft призналась: потеряна часть клиентских логов безопасности. Кибератаки и угрозы не отслеживались

Американская транснациональная корпорация Microsoft уведомила своих клиентов о том, что в течение двух недель в сентябре этого года компания не хранила журналы безопасности своих облачных ИТ-продуктов. В результате этого специалисты по защите ИТ-систем оказались в слепой зоне и могли пропустить возможные киберугрозы, происходившие в это время. Как правило, ИТ-организации ориентируются на такие записи, если необходимо выявить несанкционированный доступ и подозрительную активность.

Утрата данных

Компания Microsoft предупредила ряд корпоративных клиентов о последствиях бага, из-за которого корпорация потеряла критически важные логи. Об этом в середине октября 2024 г. пишет TechCrunch. Как правило, корпорация Microsoft ориентируются на такие логи, если необходимо выявить несанкционированный доступ и подозрительную активность в ИТ-сервисах.

В течение двух недель с 2 по 19 сентября были потеряны логи безопасности для облачных сервисов Entra, Defender for Cloud и Purview. Эта утечка данных произошла из-за внутренней ошибки операционного агента мониторинга компании Microsoft, что вызвало сбой в процессе загрузки журналов от клиентов.

В корпорации были уверены, что ИТ-инцидент не был связан с внешними угрозами, однако, по мнению экспертов по информационной безопасности (ИБ), отсутствие логов серьезно усложнит работу системных администраторов, которым необходимо отслеживать события и идентифицировать потенциальные вторжения.

Ведение логов безопасности является критически важным аспектом для защиты ИТ-инфраструктуры. Они позволяют мониторить действия пользователей, включая успешные и неудачные попытки входа. В случае если в работе сервера, компьютера или программного обеспечения (ПО) возникла неизвестная ошибка, в первую очередь смотрят логи. Лог - текстовый файл с информацией о действиях ПО или пользователей, который хранится на компьютере или сервере. Это хронология событий и их источников, ошибок и причин, по которым они произошли, а читать и анализировать логи можно с помощью специального ПО. В результате данной утечки у Microsoft, клиенты могут столкнуться с трудностями в выявлении несанкционированного доступа, что в условиях увеличения числа кибератак становится особенно актуальным.

В Microsoft признали тот факт, что потеряли часть клиентских логов безопасности от сервисов

По словам разработчиков из корпорации, инцидент затронул ряд облачных сервисов. Логи Microsoft Entra, в которые записывались попытки входа и активность, оказались неполными. В приложении Azure Logic, есть провалы в данных телеметрии, затрагивающие настройки Log Analytics, Resource Logs и Diagnostic. Частично обрывистые логи диагностики в API Azure Healthcare. Провалы в логах у Microsoft Sentinel, связанных с безопасностью ИТ-системы, которые могут затруднить анализ данных и детектирование киберугроз. Неполные результаты при выполнении запросов в сервисе Azure Monitor, основанных на данных логов. Частично обрывистые логи SignTransaction и SignHistory в Azure Trusted Signing. Неполные записи в Application Insights в сервисе Azure Virtual Desktop. Частично пропали отчеты порталов Analytics, admin и maker из логов для Power Platform.

В настоящее время специалисты технической поддержки Microsoft уже уведомили затронутых клиентов о произошедшем ИТ-инциденте и пообещала поддержку в решении возникающих проблем. Компания признала свою ответственность за произошедшую утечку данных, Microsoft откатила изменения, которые привели к утечке.

По словам корпоративного вице-президента Microsoft Джона Шихана (John Sheehan), они сотрудничают с клиентами для минимизации возможных последствий. Шихан уточнил, что баг возник в результате устранения другой проблемы, связанной со службой сбора логов.

Другие крупные утечки

В 2020 г. хакеры похитили электронные письма клиентов облачных сервисов Microsoft. По мнению журналистов TechCrunch, предположительно российские хакеры взломали компьютерные системы корпоративного партнера Microsoft и похитили электронные письма пользователей облачных сервисов Microsoft, а также переписку одной из частных компаний. После ИТ-инцидента Microsoft обнаружила в своих сетях вредоносное программное обеспечение (ВПО), пополнив тем самым список компаний, пострадавших в результате взлома техасского производителя программ SolarWinds. Microsoft уведомила более 40 клиентов о взломе, некоторые данные из которых были скомпрометированы третьей стороной. В частности, хакеры взломали реселлера, похитив учетные данные, которые можно использовать для получения доступа к учетным записям Azure. Попав внутрь учетной записи конкретного клиента, злоумышленники имели возможность читать и красть электронные письма, а также другую информацию.

Хакерская группировка Lapsus$ в 2022 г. выложила в открытый доступ 37 ГБ исходных кодов ПО от Microsoft. Скомпрометированы сотни проектов компании, включая поисковую систему Bing, а также виртуальная голосовая помощница с элементами искусственного интеллекта (ИИ) Cortana. Lapsus$ выложила в торрент zip-архив объемом 9 ГБ, который был доступен для скачивания. В архиве содержалось более 250 внутренних разработок от Microsoft. Данные были получены с сервера Microsoft Azure DevOps, свидетельствует скриншот Telegram-канала, опубликованные хакерской группой. Исходный код в проектах охватывал ряд крупных проектов, включая код, относящийся к поисковой системе Bing, картографическому сервису Bing Maps и ряду других ИТ-сервисов.