Microsoft annonce avoir perdu plusieurs semaines de journaux de sécurité de produits cloud de ses clients
(techcrunch.com)- Certains clients cloud de Microsoft ont subi une interruption de plus de deux semaines de journaux de sécurité, et pourraient avoir perdu des données nécessaires à la détection d’intrusions et aux analyses post-incident
- Du 2 au 19 septembre, un bug dans un agent de supervision interne a empêché l’envoi d’une partie des journaux, ne laissant aucune donnée sur la plateforme de journalisation interne
- Microsoft explique que la cause était un bug opérationnel, et non un incident de sécurité, et que le périmètre de l’impact s’est limité à la « collecte des événements de journalisation »
- Les produits concernés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview, ce qui a pu créer des lacunes dans l’analyse de données, la détection des menaces et la génération d’alertes de sécurité côté clients
- Après l’incident d’intrusion lié à la Chine en 2023, Microsoft avait promis d’étendre l’accès aux journaux même aux forfaits les moins chers ; l’accessibilité et la fiabilité de conservation des journaux de sécurité cloud redeviennent donc un sujet sensible
Journaux de sécurité cloud Microsoft manquants
- Microsoft a informé certains clients de ses produits cloud que plus de deux semaines de journaux de sécurité étaient manquantes
- La période concernée va du 2 au 19 septembre
- La notification envoyée aux clients indique qu’une partie des agents de supervision internes de Microsoft a mal fonctionné lors de l’envoi des données de journaux vers sa plateforme de journalisation interne
- Cette panne de journalisation n’est pas due à un incident de sécurité, et Microsoft explique que l’impact s’est limité à la « collecte des événements de journalisation »
- La journalisation sert à suivre les événements au sein des produits, et peut inclure des données comme les informations de connexion des utilisateurs et les tentatives échouées
- Sans ces journaux, il peut devenir plus difficile d’identifier un accès non autorisé aux réseaux des clients pendant la période concernée
- Business Insider a été le premier à rapporter début octobre la perte de données de journaux
- Le chercheur en sécurité Kevin Beaumont estime que la notification envoyée par Microsoft aux entreprises touchées n’est probablement visible que par un petit nombre d’utilisateurs disposant de droits d’administrateur de tenant
Produits concernés et impact pour les clients
- Les produits concernés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview
- La notification client indique que des journaux ou événements liés à la sécurité peuvent présenter des lacunes potentielles
- Ces lacunes ont pu affecter la capacité à analyser les données, détecter les menaces et générer des alertes de sécurité
- Microsoft n’a pas répondu aux questions précises sur la panne de journalisation, mais John Sheehan, corporate vice president, a confirmé que la cause était un « bug opérationnel dans un agent de supervision interne »
- Microsoft a atténué le problème en revenant en arrière sur une modification de service
- L’entreprise indique avoir informé tous les clients concernés et vouloir leur fournir l’assistance nécessaire
La question des journaux refait surface après l’intrusion liée à la Chine de 2023
- Cette panne survient un an après que Microsoft a été critiquée par des enquêteurs fédéraux américains pour ne pas avoir fourni de journaux de sécurité à certains ministères fédéraux américains en 2023
- À l’époque, les enquêteurs estimaient qu’un accès à ces journaux aurait permis d’identifier beaucoup plus rapidement l’intrusion liée à la Chine
- Les intrus liés à la Chine, Storm-0558, ont pénétré le réseau de Microsoft et volé une « skeleton key » numérique
- Cette clé leur permettait d’accéder sans restriction à des e-mails du gouvernement américain stockés dans le cloud de Microsoft
- Selon l’analyse post-incident de la cyberattaque par le gouvernement, le State Department a identifié l’intrusion parce qu’il avait acheté une licence Microsoft de niveau supérieur lui donnant accès aux journaux de sécurité des produits cloud
- De nombreuses autres agences gouvernementales américaines victimes du piratage ne disposaient pas du même accès aux journaux
- Après le piratage lié à la Chine, Microsoft a annoncé qu’elle fournirait des journaux, à partir de septembre 2023, même aux comptes cloud avec des forfaits moins chers
1 commentaires
Avis sur Hacker News
Si vous utilisez Azure dans un environnement de production réaliste, j’estime que vous en êtes responsable
Même avec 100 000 dollars de crédits gratuits, on n’aurait pas réussi à me convaincre de l’utiliser plus d’un mois
C’est cher, l’interface est très peu conviviale et, surtout, à cause de ce genre d’incident, les produits ne paraissent pas assez fiables pour qu’on leur confie des charges de production
L’ensemble donne une impression d’incohérence et de bricolage assemblé de partout, au point qu’il est difficile de croire que quelqu’un puisse l’auditer correctement sur le plan de la sécurité
Le pire, c’est la connexion : il y a un nombre absurde de redirections et d’erreurs, et on a du mal à croire que cela fonctionne comme prévu
Par exemple, en essayant de télécharger un BAA, je me suis retrouvé coincé dans une boucle de connexion sur le site de confiance, alors que, dans le même navigateur, je pouvais consulter sans problème la console Azure
Je me suis déconnecté de mon compte Azure pour voir si une nouvelle connexion aiderait, mais à la connexion suivante, l’authentification à deux facteurs ne s’est pas déclenchée
Si je me déconnecte explicitement dans une fenêtre de navigateur, cela devrait révoquer la confiance accordée à cet appareil ; le fait que l’authentification à deux facteurs ne se déclenche pas est donc un gros signal d’alerte à mes yeux
Au final, je n’ai pas pu obtenir le BAA ni ouvrir de ticket, mais, étrangement, un collègue a pu le télécharger normalement
À ce stade, il faut faire une pause et réfléchir
N’avait-on pas choisi Linux au départ parce qu’on voulait un système fiable ?
Les derniers « bons » produits qu’ils ont créés étaient SQL Server/Exchange/Windows 2000, et cela remonte à très longtemps
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
Presque toutes les équipes avaient un vrai bug dans une application tournant sur VM, application qui poussait ses logs vers le stockage
Notre équipe aussi a dû redémarrer le processus pour que les logs recommencent à circuler
C’était un incident sev 0, et une erreur difficile à corriger, car de nombreuses équipes ont dû redémarrer manuellement un agent qui tournait habituellement en silence en arrière-plan
La récente panne mondiale ClownStrike a montré un manque de tests avant déploiement, et ce problème Microsoft montre que la même chose se produit aussi du côté des fondations de Windows
Ce n’est pas très rassurant
Le passage indiquant que les produits touchés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview fait mal
Le fait qu’Entra, anciennement Azure Active Directory, ait été touché est assez grave
Mais bon, qui a besoin des logs SSO ?
L’ignorance est une bénédiction
Au passage, en voyant « Entra », j’ai cru lire Encarta et j’ai été brièvement enthousiaste à l’idée que ça existe encore
Azure Active Directory n’était pas non plus un nom extraordinaire, mais renommer tout en permanence devient épuisant
Heureusement, nos systèmes de production ne sont pas intégrés à Entra ; seuls des éléments sans rapport avec les clients y sont connectés
Je me demande quelle opération de renseignement cela a pu aider
Il ne faut pas non plus oublier ce long article paru il y a un peu plus d’un mois
Il rassemble des éléments montrant que Microsoft a échoué en matière de cybersécurité à l’étranger, et aurait délibérément laissé faire
https://www.lawenforcementtoday.com/bombshell-allegations-th...
De l’autre, Schiller ne semble pas être un témoin totalement fiable, et le fait qu’il semble avoir demandé une supervision gouvernementale uniquement à des élus républicains MAGA extrêmes est aussi révélateur
Cela dit, je suis d’accord à 100 % sur deux points : 1) il ne faut pas dépendre de personnel de support de nationalité étrangère pour assurer le support d’infrastructures critiques du gouvernement américain, et 2) toutes les grandes entreprises tech, y compris les hyperscalers, concluent des accords avec la sphère gouvernementale chinoise via des mandataires locaux comme Tencent ou Alicloud pour pouvoir opérer en Chine
Il n’y a pas assez de supervision de ce type de contrats, ni des conditions qui permettent à du personnel côté chinois d’accéder directement aux piles matérielles et logicielles
Pourquoi l’avoir reconnu publiquement ?
C’est une manière assez courante pour MSFT de gérer ce genre de situation
Azure n’est pas terrible
Le service Batch, en particulier, a un planificateur de tâches qui n’est absolument pas précis
Même les organisations avec les pires infrastructures et les pratiques d’exploitation les plus atroces que j’aie vues avaient mis en place des mécanismes sophistiqués pour rendre ce genre de chose pratiquement impossible
Parce que si cela arrive, c’est vraiment grave
Même avant cet incident, je ne pense pas que j’aurais voulu bâtir mon activité sur une infrastructure cloud managée Azure
Même en faisant l’exercice de pensée consistant à imaginer comment cela pourrait être possible sans défaillance catastrophique de tout le système, j’ai du mal à voir
Il y avait ici des commentaires affirmant que msft était plus favorable aux entreprises que Google
La raison invoquée était qu’ils ne perdaient pas les données, mais msft se situe à l’opposé de la fiabilité
Ça sent la dissimulation
Cela ressemble à : « Une vulnérabilité de notre plateforme est apparue dans les syslogs des clients ! » « Vite, tout le monde, perdons les logs et gagnons du temps »