Microsoft hat Kunden darüber informiert, dass Sicherheitsprotokolle für einige seiner Cloud-Produkte für mehr als zwei Wochen fehlen, sodass Netzwerkverteidigern wichtige Daten zur Erkennung möglicher Eindringlinge fehlen.
Laut einer an betroffene Kunden gesendeten Benachrichtigung sagte Microsoft, dass „ein Fehler in einem der internen Überwachungsagenten von Microsoft zwischen dem 2. und 19. September zu einer Fehlfunktion einiger Agenten beim Hochladen von Protokolldaten auf unsere interne Protokollierungsplattform geführt hat“.
In der Benachrichtigung hieß es, dass der Protokollierungsausfall nicht durch einen Sicherheitsvorfall verursacht wurde und „nur die Erfassung von Protokollereignissen beeinträchtigte“.
Geschäftsinsider zuerst berichtet der Verlust von Protokolldaten Anfang Oktober. Einzelheiten der Benachrichtigung wurden nicht allgemein bekannt gegeben. Wie von bemerkt Sicherheitsforscher Kevin Beaumontsind die Benachrichtigungen, die Microsoft an betroffene Unternehmen gesendet hat, wahrscheinlich nur für eine Handvoll Benutzer mit Mandantenadministratorrechten zugänglich.
Die Protokollierung hilft dabei, Ereignisse innerhalb eines Produkts zu verfolgen, z. B. Informationen über Benutzeranmeldungen und fehlgeschlagene Versuche, was Netzwerkverteidigern dabei helfen kann, mutmaßliche Eindringlinge zu identifizieren. Fehlende Protokolle könnten die Identifizierung unbefugter Zugriffe auf die Netzwerke der Kunden während dieses zweiwöchigen Zeitfensters erschweren.
Zu den betroffenen Produkten gehören laut Business Insider-Bericht Microsoft Entra, Sentinel, Defender for Cloud und Purview. Betroffene Kunden „haben möglicherweise potenzielle Lücken in sicherheitsrelevanten Protokollen oder Ereignissen festgestellt, die möglicherweise die Fähigkeit der Kunden beeinträchtigen, Daten zu analysieren, Bedrohungen zu erkennen oder Sicherheitswarnungen zu generieren“, heißt es in der Benachrichtigung.
Microsoft beantwortete keine spezifischen Fragen zum Protokollierungsausfall, aber ein Microsoft-Manager bestätigte gegenüber Tech, dass der Vorfall durch einen „Betriebsfehler in unserem internen Überwachungsagenten“ verursacht wurde.
„Wir haben das Problem entschärft, indem wir eine Serviceänderung rückgängig gemacht haben. Wir haben mit allen betroffenen Kunden kommuniziert und werden bei Bedarf Unterstützung leisten“, sagte John Sheehan, Corporate Vice President von Microsoft.
Der Protokollierungsausfall erfolgt ein Jahr, nachdem Microsoft von Bundesermittlern unter Beschuss geraten ist, weil es bestimmten US-Bundesbehörden Sicherheitsprotokolle vorenthalten hat, die ihre E-Mails in der gehärteten, nur für die Regierung bestimmten Cloud des Unternehmens hosten Serie von von China unterstützten Einbrüchen viel früher.
Die von China unterstützten Eindringlinge mit der Bezeichnung Storm-0558 brachen in das Netzwerk von Microsoft ein und stahlen einen digitalen Skelettschlüssel, der den Hackern uneingeschränkten Zugriff auf in der Cloud von Microsoft gespeicherte E-Mails der US-Regierung ermöglichte. Laut einer von der Regierung herausgegebenen Obduktion des Cyberangriffs identifizierte das Außenministerium die Einbrüche, weil es für eine höherstufige Microsoft-Lizenz bezahlte, die Zugriff auf Sicherheitsprotokolle für seine Cloud-Produkte gewährte, was viele andere gehackte US-Regierungsbehörden nicht taten haben.
Nach den von China unterstützten Hacks, sagte Microsoft Es würde beginnen, Protokolle bereitzustellen ab September 2023 auf seine schlechter bezahlten Cloud-Konten.
Carly Page trug zur Berichterstattung bei.