Microsoft a déclaré avoir perdu des semaines de journaux de sécurité pour les produits cloud de ses clients
Microsoft a informé ses clients qu’il lui manquait plus de deux semaines de journaux de sécurité pour certains de ses produits cloud, laissant les défenseurs du réseau sans données critiques pour détecter d’éventuelles intrusions.
Selon une notification envoyée aux clients concernés, Microsoft a déclaré qu’« un bug dans l’un des agents de surveillance internes de Microsoft a entraîné un dysfonctionnement de certains agents lors du téléchargement des données de journal sur notre plateforme de journalisation interne » entre le 2 et le 19 septembre.
La notification indiquait que l’interruption de la journalisation n’était pas causée par un incident de sécurité et « affectait uniquement la collecte des événements du journal ».
Business Insider signalé pour la première fois la perte de données de journal plus tôt en octobre. Les détails de la notification n’ont pas été largement rapportés. Comme l’a noté chercheur en sécurité Kevin Beaumontles notifications que Microsoft a envoyées aux entreprises concernées ne sont probablement accessibles qu’à une poignée d’utilisateurs disposant de droits d’administrateur de locataire.
La journalisation permet de garder une trace des événements au sein d’un produit, tels que les informations sur la connexion des utilisateurs et les tentatives infructueuses, ce qui peut aider les défenseurs du réseau à identifier les intrusions suspectées. Les journaux manquants pourraient rendre plus difficile l’identification des accès non autorisés aux réseaux des clients pendant cette fenêtre de deux semaines.
Les produits concernés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview, selon le rapport de Business Insider. Les clients concernés « peuvent avoir rencontré des failles potentielles dans les journaux ou événements liés à la sécurité, affectant éventuellement la capacité des clients à analyser les données, à détecter les menaces ou à générer des alertes de sécurité », indique la notification.
Microsoft n’a pas répondu aux questions spécifiques sur la panne de journalisation, mais un dirigeant de Microsoft a confirmé à TechCrunch que l’incident était dû à un « bug opérationnel au sein de notre agent de surveillance interne ».
« Nous avons atténué le problème en annulant une modification de service. Nous avons communiqué avec tous les clients concernés et fournirons une assistance si nécessaire », a déclaré John Sheehan, vice-président de Microsoft.
Cette panne de journalisation survient un an après que Microsoft ait été critiqué par des enquêteurs fédéraux pour avoir retenu les journaux de sécurité de certains départements du gouvernement fédéral américain qui hébergent leurs e-mails sur le cloud renforcé et réservé au gouvernement de l’entreprise ; les enquêteurs ont déclaré que l’accès à ces journaux aurait pu identifier une série d’intrusions soutenues par la Chine bien plus tôt.
Les intrus soutenus par la Chine, appelés Storm-0558, ont pénétré par effraction dans le réseau de Microsoft et ont volé une clé squelette numérique qui permettait aux pirates d’accéder sans entrave aux e-mails du gouvernement américain stockés dans le cloud de Microsoft. Selon une analyse post-mortem de la cyberattaque publiée par le gouvernement, le Département d’État a identifié les intrusions parce qu’il a payé pour une licence Microsoft de niveau supérieur qui accordait l’accès aux journaux de sécurité de ses produits cloud, ce que de nombreuses autres agences gouvernementales américaines piratées n’avaient pas.
Suite aux piratages soutenus par la Chine, Microsoft a déclaré il commencerait à fournir des journaux à ses comptes cloud moins bien payés à partir de septembre 2023.
Carly Page a contribué au reportage.
