Microsoft avertit les entreprises clientes que, pendant près d’un mois, un bug a entraîné une perte partielle des journaux critiques, mettant en danger les entreprises qui s’appuient sur ces données pour détecter des activités non autorisées.
Le problème a été signalé pour la première fois par Business Insider plus tôt ce mois-ci, qui a signalé que Microsoft avait commencé à informer ses clients que leurs données de journalisation n’avaient pas été collectées de manière cohérente entre le 2 et le 19 septembre.
Les journaux perdus incluent des données de sécurité couramment utilisées pour surveiller le trafic, les comportements et les tentatives de connexion suspects sur un réseau, augmentant ainsi les risques que les attaques ne soient pas détectées.
UN Examen préliminaire post-incident (PIR) envoyé aux clients et partagé par le MVP Microsoft Joao Ferreira apporte un éclairage supplémentaire sur le problème, affirmant que les problèmes de journalisation étaient pires pour certains services et se poursuivaient jusqu’au 3 octobre.
L’examen de Microsoft indique que les services suivants ont été affectés, chacun avec différents degrés de perturbation des journaux :
- Entrée Microsoft : Journaux de connexion et journaux d’activité potentiellement incomplets. Les journaux Entra circulant via Azure Monitor vers les produits de sécurité Microsoft, notamment Microsoft Sentinel, Microsoft Purview et Microsoft Defender for Cloud, ont également été affectés.
- Applications logiques Azure : Nous avons rencontré des lacunes intermittentes dans les données de télémétrie dans les paramètres Log Analytics, les journaux de ressources et les paramètres de diagnostic de Logic Apps.
- API Azure Healthcare : Journaux de diagnostic partiellement incomplets.
- Microsoft Sentinelle : Lacunes potentielles dans les journaux ou événements liés à la sécurité, affectant la capacité des clients à analyser les données, à détecter les menaces ou à générer des alertes de sécurité.
- Moniteur Azure : Lacunes observées ou résultats réduits lors de l’exécution de requêtes basées sur les données de journal des services concernés. Dans les scénarios où les clients configuraient des alertes en fonction de ces données de journal, les alertes pourraient avoir été affectées.
- Signature approuvée Azure : Journaux SignTransaction et SignHistory partiellement incomplets, ce qui a entraîné une réduction du volume des journaux de signature et une sous-facturation.
- Bureau virtuel Azure : Partiellement incomplet dans Application Insights. La connectivité et les fonctionnalités principales d’AVD n’ont pas été affectées.
- Plateforme électrique : Vous rencontrez des écarts mineurs affectant les données de divers rapports, notamment les rapports Analytics dans le portail Admin et Maker, les rapports de licences, les exportations de données vers Data Lake, Application Insights et la journalisation des activités.
Microsoft affirme que l’échec de la journalisation a été causé par un bug introduit lors de la résolution d’un autre problème dans le service de collecte de journaux de l’entreprise.
« Le changement initial visait à résoudre une limite dans le service de journalisation, mais une fois déployé, il a déclenché par inadvertance une condition de blocage lorsque l’agent était invité à modifier le point de terminaison de téléchargement de télémétrie d’une manière évoluant rapidement alors qu’une répartition était en cours vers le point de terminaison initial. Cela a entraîné un blocage progressif des threads dans le composant de répartition, empêchant l’agent de télécharger la télémétrie. Le blocage a affecté uniquement le mécanisme de répartition au sein de l’agent, les autres fonctionnalités fonctionnant normalement, notamment la collecte et la validation des données dans le cache durable local de l’agent. Un redémarrage de l’agent ou du système d’exploitation résout le blocage et l’agent télécharge les données contenues dans son cache local au démarrage. Dans certaines situations, la quantité de données de journal collectées par l’agent était supérieure à la limite du cache de l’agent local avant un redémarrage. s’est produit et, dans ces cas, l’agent a écrasé les données les plus anciennes du cache (tampon circulaire conservant les données les plus récentes, jusqu’à la limite de taille). Les données du journal au-delà de la limite de taille du cache ne sont pas récupérables. »
❖Microsoft
Microsoft affirme que même s’ils ont corrigé le bogue en suivant des pratiques de déploiement sécurisées, ils n’ont pas réussi à identifier le nouveau problème et il a fallu quelques jours pour le détecter.
Dans une déclaration à TechCrunchle vice-président de Microsoft, John Sheehan, a déclaré que le bug était désormais résolu et que tous les clients avaient été informés.
Cependant, un expert en cybersécurité Kévin Beaumont dit qu’il connaît au moins deux entreprises avec des données de journal manquantes qui n’ont pas reçu de notifications.
Cet incident est survenu un an après que Microsoft ait été critiqué par la CISA et les législateurs pour ne pas avoir fourni de données de journal adéquates pour détecter gratuitement les violations, exigeant plutôt que les clients paient pour cela.
En juillet 2023, des pirates chinois ont volé une clé de signature Microsoft qui leur a permis de pirater les comptes Microsoft Exchange et Microsoft 365 d’entreprise et gouvernementaux et de voler des e-mails.
Bien que Microsoft n’ait toujours pas déterminé comment la clé a été volée, le gouvernement américain a d’abord détecté les attaques en utilisant les données de journalisation avancées de Microsoft.
Toutefois, ces fonctionnalités de journalisation avancées n’étaient disponibles que pour les clients Microsoft payant pour Audit de compétence de Microsoft (Premium) fonction de journalisation.
Pour cette raison, Microsoft a été largement critiqué pour ne pas fournir gratuitement ces données de journalisation supplémentaires afin que les organisations puissent détecter rapidement les attaques avancées.
En collaboration avec le CISA, l’Office of Management and Budget (OMB) et l’Office of the National Cyber Director (ONCD), Microsoft a étendu ses capacités de journalisation gratuite pour tous les clients standard Purview Audit en février 2024.