Microsoft meldet wochenlangen Verlust von Sicherheitslogs bei Cloud-Produkten von Kunden
(techcrunch.com)- Einige Microsoft-Cloud-Kunden hatten mehr als zwei Wochen lang Lücken in Sicherheitslogs und könnten dadurch Daten verloren haben, die für die Erkennung von Eindringlingen und forensische Analysen benötigt werden
- Vom 2. bis 19. September verhinderte ein Bug in einem internen Monitoring-Agenten, dass einige Logs hochgeladen wurden, sodass in der internen Logging-Plattform keine Daten verblieben
- Microsoft erklärte, die Ursache sei kein Sicherheitsvorfall, sondern ein betrieblicher Bug gewesen, und der Umfang der Auswirkungen habe sich auf die „Erfassung von Log-Ereignissen“ beschränkt
- Zu den betroffenen Produkten gehören Microsoft Entra, Sentinel, Defender for Cloud, Purview; dadurch könnte es bei Datenanalyse, Bedrohungserkennung und der Erstellung von Sicherheitswarnungen auf Kundenseite zu Lücken gekommen sein
- Nachdem Microsoft nach dem chinesisch verknüpften Einbruch von 2023 angekündigt hatte, Logs auch für günstigere Tarife bereitzustellen, rücken nun Zugänglichkeit und Zuverlässigkeit der Aufbewahrung von Cloud-Sicherheitslogs erneut in den Fokus
Fehlende Microsoft-Cloud-Sicherheitslogs
- Microsoft informierte Kunden einiger Cloud-Produkte darüber, dass mehr als zwei Wochen Sicherheitslogs fehlten
- Der Ausfallzeitraum reichte vom 2. bis 19. September
- In der Kundenbenachrichtigung stand, dass Teile von Microsofts internen Monitoring-Agenten beim Hochladen von Log-Daten auf die interne Logging-Plattform fehlerhaft arbeiteten
- Die Logging-Störung war nicht auf einen Sicherheitsvorfall zurückzuführen; Microsoft erklärte, die Auswirkungen hätten sich nur auf die „Erfassung von Log-Ereignissen“ beschränkt
- Logging dient dazu, Ereignisse innerhalb eines Produkts nachzuverfolgen, darunter etwa Anmeldeinformationen von Nutzern und fehlgeschlagene Versuche
- Ohne diese Logs könnte es schwieriger sein, unbefugten Zugriff auf Kundennetzwerke in diesem Zeitraum zu identifizieren
- Business Insider berichtete Anfang Oktober zuerst über den Verlust der Log-Daten
- Der Sicherheitsforscher Kevin Beaumont geht davon aus, dass die von Microsoft an betroffene Unternehmen verschickte Benachrichtigung wahrscheinlich nur für wenige Nutzer mit Tenant-Administratorrechten sichtbar war
Betroffene Produkte und Auswirkungen auf Kunden
- Zu den betroffenen Produkten gehören Microsoft Entra, Sentinel, Defender for Cloud, Purview
- In der Kundenbenachrichtigung hieß es, dass es zu potenziellen Lücken bei sicherheitsrelevanten Logs oder Ereignissen gekommen sein könnte
- Diese Lücken könnten die Fähigkeiten zur Datenanalyse, Bedrohungserkennung und Erstellung von Sicherheitswarnungen beeinträchtigt haben
- Microsoft beantwortete konkrete Fragen zu der Logging-Störung nicht, aber Corporate Vice President John Sheehan bestätigte die Ursache als „betrieblichen Bug in einem internen Monitoring-Agenten“
- Microsoft machte eine Serviceänderung rückgängig, um das Problem zu entschärfen
- Das Unternehmen erklärte, es habe alle betroffenen Kunden informiert und werde die erforderliche Unterstützung bereitstellen
Erneut aufgeflammte Log-Debatte nach dem chinesisch verknüpften Einbruch von 2023
- Diese Störung trat ein Jahr nachdem Microsoft 2023 von US-Bundesermittlern dafür kritisiert worden war, einigen US-Bundesbehörden keine Sicherheitslogs bereitgestellt zu haben, erneut auf
- Die Ermittler gingen damals davon aus, dass der chinesisch verknüpfte Einbruch deutlich früher hätte erkannt werden können, wenn Zugriff auf diese Logs bestanden hätte
- Die chinesisch verknüpften Angreifer Storm-0558 drangen in Microsofts Netzwerk ein und stahlen einen digitalen „skeleton key“
- Mit diesem Schlüssel war uneingeschränkter Zugriff auf in der Microsoft-Cloud gespeicherte E-Mails der US-Regierung möglich
- Laut der staatlichen Analyse nach dem Cyberangriff identifizierte das State Department den Einbruch, weil es eine höherwertige Microsoft-Lizenz gekauft hatte und dadurch Zugriff auf Sicherheitslogs der Cloud-Produkte hatte
- Viele andere von dem Hack betroffene US-Behörden hatten keinen entsprechenden Log-Zugriff
- Nach dem chinesisch verknüpften Hack kündigte Microsoft an, ab September 2023 Logs auch für Cloud-Konten in günstigeren Tarifen bereitzustellen
1 Kommentare
Meinungen auf Hacker News
Wenn man Azure in einer realistischen Produktionsumgebung einsetzt, ist man meiner Ansicht nach selbst dafür verantwortlich.
Selbst wenn man mir kostenlose Credits im Wert von 100.000 Dollar gegeben hätte, hätte man mich nicht dazu gebracht, es länger als einen Monat zu nutzen.
Es ist teuer, die Oberfläche ist extrem unfreundlich, und vor allem lassen solche Vorfälle die Produkte nicht zuverlässig genug erscheinen, um ihnen Produktionslasten anzuvertrauen.
Das Ganze wirkt inkonsistent und zusammengestückelt, sodass ich kaum glauben kann, dass jemand das ordentlich sicherheitsauditieren kann.
Am nervigsten ist der Login: Es gibt absurd viele Redirects und Fehler, und es wirkt kaum so, als würde er wie beabsichtigt funktionieren.
Ich wollte zum Beispiel ein BAA herunterladen und landete auf einer vertrauenswürdigen Website in einer Login-Schleife, während ich im selben Browser die Azure-Konsole problemlos sehen konnte.
Ich habe mich aus meinem Azure-Konto ausgeloggt, um zu sehen, ob ein neuer Login hilft, aber beim nächsten Login erschien keine Zwei-Faktor-Authentifizierung.
Wenn ich mich in einem Browserfenster explizit abmelde, habe ich das Vertrauen für dieses Gerät widerrufen; dass dann keine Zwei-Faktor-Authentifizierung ausgelöst wird, ist für mich ein großes Warnsignal.
Am Ende konnte ich weder das BAA bekommen noch ein Ticket eröffnen, aber seltsamerweise konnte ein Kollege es ganz normal herunterladen.
Spätestens da sollte man kurz innehalten und nachdenken.
Hatte man sich nicht ursprünglich für Linux entschieden, weil man ein vertrauenswürdiges System wollte?
Die letzten „guten“ Produkte, die sie gebaut haben, waren SQL Server/Exchange/Windows 2000, und das ist sehr lange her.
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
Fast jedes Team hatte einen echten Bug in einer Anwendung, die auf VMs lief, und diese App schrieb Anwendungslogs in den Speicher.
Auch unser Team musste den Prozess neu starten, damit die Logs wieder flossen.
Das war ein Sev-0-Vorfall und ein Fehler, der sich nicht leicht beheben ließ, weil unzählige Teams einen Agenten, der normalerweise still im Hintergrund lief, manuell neu starten mussten.
Der jüngste weltweite ClownStrike-Ausfall zeigte mangelnde Tests vor dem Rollout, und dieses Microsoft-Problem zeigt, dass so etwas auch ganz nah an den Wurzeln von Windows passiert.
Kein gutes Bild.
Dass zu den betroffenen Produkten Microsoft Entra, Sentinel, Defender for Cloud und Purview gehören, tut weh.
Dass Entra, früher Azure Active Directory, betroffen war, ist ziemlich schwerwiegend.
Aber wer braucht schon SSO-Logs?
Unwissenheit ist ein Segen.
Nebenbei: Als ich Entra gelesen habe, dachte ich zuerst an Encarta und war kurz begeistert, weil ich dachte, das gäbe es noch.
Azure Active Directory war auch kein großartiger Name, aber alles ständig umzubenennen ist einfach ermüdend.
Zum Glück sind unsere Produktionssysteme nicht in Entra integriert, sondern nur Dinge ohne Kundenbezug.
Ich frage mich, welche Geheimdienstoperation das wohl unterstützt hat.
Man sollte auch diesen langen Artikel von vor gut einem Monat nicht vergessen.
Er fasst zusammen, wie Microsoft bei Cybersicherheit im Ausland versagt hat und was nach absichtlichem Wegsehen aussieht.
https://www.lawenforcementtoday.com/bombshell-allegations-th...
Andererseits wirkt Schiller nicht wie ein völlig zuverlässiger Zeuge, und dass er offenbar nur extremen MAGA-Republikanern um staatliche Aufsicht gebeten hat, ist ebenfalls aufschlussreich.
Trotzdem stimme ich zu 100 % zu, dass 1) kritische US-Regierungsinfrastruktur nicht von Supportpersonal mit ausländischer Staatsangehörigkeit abhängen sollte und 2) alle großen Tech-Unternehmen, einschließlich Hyperscaler, für ihr Geschäft in China über inländische Stellvertreter wie Tencent oder Alicloud Verträge mit dem chinesischen Regierungsraum eingehen.
Es gibt nicht genug Aufsicht über solche Verträge und über Bedingungen, die chinesischem Personal direkten Zugriff auf den Hardware- und Software-Stack ermöglichen.
Warum haben sie das öffentlich eingeräumt?
Das ist eine übliche Vorgehensweise von MSFT im Umgang mit solchen Dingen.
Azure ist nicht besonders gut.
Besonders der Batch Service hat einen völlig ungenauen Job-Scheduler.
Selbst die Orte mit der schlimmsten Infrastruktur und den grauenhaftesten Betriebspraktiken, die ich bisher gesehen habe, hatten ausgeklügelte Mechanismen, die so etwas praktisch unmöglich machen.
Denn wenn so etwas passiert, ist es wirklich gravierend.
Schon vor diesem Vorfall hätte ich mein Geschäft wohl nicht auf Azure Managed Cloud Infrastructure aufbauen wollen.
Selbst als Gedankenexperiment kann ich mir nur schwer vorstellen, wie so etwas ohne einen katastrophalen Fehler im Gesamtsystem möglich sein kann.
Hier gab es Kommentare, die meinten, msft sei unternehmensfreundlicher als Google.
Die Begründung war, dass sie keine Daten verlieren; dabei steht msft auf der Gegenseite von Zuverlässigkeit.
Das riecht nach Vertuschung.
„Eine Schwachstelle unserer Plattform ist in den Syslogs der Kunden sichtbar geworden!“ „Schnell, alle zusammen, verlieren wir die Logs und verschaffen uns mehr Zeit“ – so wirkt es.