Microsoft avertit les entreprises clientes que, pendant près d’un mois, un bogue a entraîné la perte partielle des journaux critiques, mettant en danger les entreprises qui s’appuient sur ces données pour détecter une activité non autorisée.
Le problème a été signalé pour la première fois par Business Insider plus tôt ce mois-ci, qui a rapporté que Microsoft avait commencé à informer les clients que leurs données de journalisation n’avaient pas été collectées de manière cohérente entre le 2 et le 19 septembre.
Les journaux perdus incluent des données de sécurité couramment utilisées pour surveiller le trafic, le comportement et les tentatives de connexion suspects sur un réseau, augmentant ainsi les chances que les attaques ne soient pas détectées.
Un Examen préliminaire après incident (PIR) envoyé aux clients et partagé par le MVP Microsoft Joao Ferreira jette un éclairage supplémentaire sur le problème, affirmant que les problèmes de journalisation étaient pires pour certains services, se poursuivant jusqu’au 3 octobre.
L’examen de Microsoft indique que les services suivants ont été impactés, chacun avec des degrés variables de perturbation des journaux:
- Microsoft Entra: Journaux de connexion et journaux d’activité potentiellement incomplets. Les journaux Entra circulant via Azure Monitor dans les produits de sécurité Microsoft, notamment Microsoft Sentinel, Microsoft Purview et Microsoft Defender pour le Cloud, ont également été affectés.
- Applications Azure Logic: Lacunes intermittentes dans les données de télémétrie dans les analyses de journaux, les journaux de ressources et les paramètres de diagnostic des applications Logic.
- API Azure Healthcare: journaux de diagnostic partiellement incomplets.
- Microsoft Sentinel: Lacunes potentielles dans les journaux ou événements liés à la sécurité, affectant la capacité des clients à analyser les données, détecter les menaces ou générer des alertes de sécurité.
- Azure Monitor: lacunes observées ou résultats réduits lors de l’exécution de requêtes basées sur les données de journal des services impactés. Dans les scénarios où les clients configuraient des alertes en fonction de ces données de journal, les alertes pouvaient avoir été affectées.
- Azure Trusted Signing: journaux SignTransaction et SignHistory partiellement incomplets, entraînant une réduction du volume des journaux de signature et une sous-facturation.
- Azure Virtual Desktop: Partiellement incomplet dans Application Insights. La connectivité et les fonctionnalités principales d’AVD n’ont pas été affectées.
- Power Platform: Découvrez des écarts mineurs affectant les données dans divers rapports, y compris les rapports d’analyse dans le portail Admin et Maker, les rapports de licence, les exportations de données vers le lac de données, les informations sur les applications et la journalisation des activités.
Microsoft affirme que l’échec de la journalisation a été causé par un bogue introduit lors de la résolution d’un problème différent dans le service de collecte de journaux de l’entreprise.
« Le changement initial visait à résoudre une limite dans le service de journalisation, mais lorsqu’il a été déployé, il a déclenché par inadvertance une condition de blocage lorsque l’agent était invité à modifier le point de terminaison de téléchargement de télémétrie de manière rapide alors qu’une répartition était en cours vers le point de terminaison initial. Cela a entraîné un blocage progressif des threads dans le composant de répartition, empêchant l’agent de télécharger la télémétrie. Le blocage n’affectait que le mécanisme de répartition au sein de l’agent, les autres fonctionnalités fonctionnant normalement, y compris la collecte et la validation des données dans le cache durable local de l’agent. Un redémarrage de l’agent ou du système d’exploitation résout le blocage et l’agent télécharge les données dont il dispose dans son cache local au démarrage. Il y avait des situations où la quantité de données de journal collectées par l’agent était supérieure à la limite de cache de l’agent local avant qu’un redémarrage ne se produise, et dans ces cas, l’agent écrasait les données les plus anciennes du cache (tampon circulaire conservant les données les plus récentes, jusqu’à la limite de taille). Les données de journal au-delà de la limite de taille du cache ne sont pas récupérables. »
❖ Microsoft
Microsoft dit que même s’ils ont corrigé le bogue en suivant des pratiques de déploiement sûres, ils n’ont pas réussi à identifier le nouveau problème et il a fallu quelques jours pour le détecter.
Dans une déclaration à TechCrunch, le vice-président de Microsoft, John Sheehan, a déclaré que le bogue avait maintenant été résolu et que tous les clients avaient été informés.
Cependant, l’expert en cybersécurité Kevin Beaumont dit qu’il connaît au moins deux entreprises avec des données de journal manquantes qui n’ont pas reçu de notifications.
Cet incident est survenu un an après que Microsoft a été critiqué par la CISA et les législateurs pour ne pas avoir fourni des données de journal adéquates pour détecter gratuitement les violations, obligeant plutôt les clients à payer pour cela.
En juillet 2023, des pirates informatiques chinois ont volé une clé de signature Microsoft qui leur a permis de violer les comptes Microsoft Exchange et Microsoft 365 des entreprises et du gouvernement et de voler des courriels.
Bien que Microsoft n’ait toujours pas déterminé comment la clé a été volée, le gouvernement américain a d’abord détecté les attaques en utilisant les données de journalisation avancées de Microsoft.
Cependant, ces fonctionnalités de journalisation avancées n’étaient disponibles que pour les clients Microsoft qui payaient pour la fonctionnalité de journalisation Purview Audit (Premium) de Microsoft.
Pour cette raison, Microsoft a été largement critiqué pour ne pas avoir fourni gratuitement ces données de journalisation supplémentaires afin que les organisations puissent détecter rapidement les attaques avancées.
En collaboration avec CISA, le Bureau de la gestion et du budget (OMB) et le Bureau du Directeur national de la cybersécurité (ONCD), Microsoft a étendu ses capacités de journalisation gratuite à tous les clients de Purview Audit Standard en février 2024.