2 points par GN⁺ 2024-10-22 | 1 commentaires | Partager sur WhatsApp
  • Certains clients cloud de Microsoft ont subi une interruption de plus de deux semaines de journaux de sécurité, et pourraient avoir perdu des données nécessaires à la détection d’intrusions et aux analyses post-incident
  • Du 2 au 19 septembre, un bug dans un agent de supervision interne a empêché l’envoi d’une partie des journaux, ne laissant aucune donnée sur la plateforme de journalisation interne
  • Microsoft explique que la cause était un bug opérationnel, et non un incident de sécurité, et que le périmètre de l’impact s’est limité à la « collecte des événements de journalisation »
  • Les produits concernés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview, ce qui a pu créer des lacunes dans l’analyse de données, la détection des menaces et la génération d’alertes de sécurité côté clients
  • Après l’incident d’intrusion lié à la Chine en 2023, Microsoft avait promis d’étendre l’accès aux journaux même aux forfaits les moins chers ; l’accessibilité et la fiabilité de conservation des journaux de sécurité cloud redeviennent donc un sujet sensible

Journaux de sécurité cloud Microsoft manquants

  • Microsoft a informé certains clients de ses produits cloud que plus de deux semaines de journaux de sécurité étaient manquantes
    • La période concernée va du 2 au 19 septembre
    • La notification envoyée aux clients indique qu’une partie des agents de supervision internes de Microsoft a mal fonctionné lors de l’envoi des données de journaux vers sa plateforme de journalisation interne
  • Cette panne de journalisation n’est pas due à un incident de sécurité, et Microsoft explique que l’impact s’est limité à la « collecte des événements de journalisation »
  • La journalisation sert à suivre les événements au sein des produits, et peut inclure des données comme les informations de connexion des utilisateurs et les tentatives échouées
    • Sans ces journaux, il peut devenir plus difficile d’identifier un accès non autorisé aux réseaux des clients pendant la période concernée
  • Business Insider a été le premier à rapporter début octobre la perte de données de journaux
  • Le chercheur en sécurité Kevin Beaumont estime que la notification envoyée par Microsoft aux entreprises touchées n’est probablement visible que par un petit nombre d’utilisateurs disposant de droits d’administrateur de tenant

Produits concernés et impact pour les clients

  • Les produits concernés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview
  • La notification client indique que des journaux ou événements liés à la sécurité peuvent présenter des lacunes potentielles
    • Ces lacunes ont pu affecter la capacité à analyser les données, détecter les menaces et générer des alertes de sécurité
  • Microsoft n’a pas répondu aux questions précises sur la panne de journalisation, mais John Sheehan, corporate vice president, a confirmé que la cause était un « bug opérationnel dans un agent de supervision interne »
    • Microsoft a atténué le problème en revenant en arrière sur une modification de service
    • L’entreprise indique avoir informé tous les clients concernés et vouloir leur fournir l’assistance nécessaire

La question des journaux refait surface après l’intrusion liée à la Chine de 2023

  • Cette panne survient un an après que Microsoft a été critiquée par des enquêteurs fédéraux américains pour ne pas avoir fourni de journaux de sécurité à certains ministères fédéraux américains en 2023
    • À l’époque, les enquêteurs estimaient qu’un accès à ces journaux aurait permis d’identifier beaucoup plus rapidement l’intrusion liée à la Chine
  • Les intrus liés à la Chine, Storm-0558, ont pénétré le réseau de Microsoft et volé une « skeleton key » numérique
    • Cette clé leur permettait d’accéder sans restriction à des e-mails du gouvernement américain stockés dans le cloud de Microsoft
  • Selon l’analyse post-incident de la cyberattaque par le gouvernement, le State Department a identifié l’intrusion parce qu’il avait acheté une licence Microsoft de niveau supérieur lui donnant accès aux journaux de sécurité des produits cloud
    • De nombreuses autres agences gouvernementales américaines victimes du piratage ne disposaient pas du même accès aux journaux
  • Après le piratage lié à la Chine, Microsoft a annoncé qu’elle fournirait des journaux, à partir de septembre 2023, même aux comptes cloud avec des forfaits moins chers

1 commentaires

 
GN⁺ 2024-10-22
Avis sur Hacker News
  • Si vous utilisez Azure dans un environnement de production réaliste, j’estime que vous en êtes responsable
    Même avec 100 000 dollars de crédits gratuits, on n’aurait pas réussi à me convaincre de l’utiliser plus d’un mois
    C’est cher, l’interface est très peu conviviale et, surtout, à cause de ce genre d’incident, les produits ne paraissent pas assez fiables pour qu’on leur confie des charges de production

    • Quand on vient d’un autre fournisseur cloud vers Azure, il y a beaucoup trop de gros voyants orange
      L’ensemble donne une impression d’incohérence et de bricolage assemblé de partout, au point qu’il est difficile de croire que quelqu’un puisse l’auditer correctement sur le plan de la sécurité
      Le pire, c’est la connexion : il y a un nombre absurde de redirections et d’erreurs, et on a du mal à croire que cela fonctionne comme prévu
      Par exemple, en essayant de télécharger un BAA, je me suis retrouvé coincé dans une boucle de connexion sur le site de confiance, alors que, dans le même navigateur, je pouvais consulter sans problème la console Azure
      Je me suis déconnecté de mon compte Azure pour voir si une nouvelle connexion aiderait, mais à la connexion suivante, l’authentification à deux facteurs ne s’est pas déclenchée
      Si je me déconnecte explicitement dans une fenêtre de navigateur, cela devrait révoquer la confiance accordée à cet appareil ; le fait que l’authentification à deux facteurs ne se déclenche pas est donc un gros signal d’alerte à mes yeux
      Au final, je n’ai pas pu obtenir le BAA ni ouvrir de ticket, mais, étrangement, un collègue a pu le télécharger normalement
    • J’ai ri récemment en voyant quelque part qu’ils voulaient installer des logiciels MS sur toutes les machines Linux pour les intégrer à Azure
      À ce stade, il faut faire une pause et réfléchir
      N’avait-on pas choisi Linux au départ parce qu’on voulait un système fiable ?
    • Je ne veux pas faire le troll en disant « on peut faire mieux », mais je pense vraiment qu’ils n’en sont pas capables
      Les derniers « bons » produits qu’ils ont créés étaient SQL Server/Exchange/Windows 2000, et cela remonte à très longtemps
    • Même en interne : « Même LinkedIn n’est pas très enthousiaste à propos du cloud Microsoft : abandon de la migration vers Azure »
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • Malheureusement, ce genre de choix est décidé par la direction, qui ne fait que suivre les modes
  • Presque toutes les équipes avaient un vrai bug dans une application tournant sur VM, application qui poussait ses logs vers le stockage
    Notre équipe aussi a dû redémarrer le processus pour que les logs recommencent à circuler
    C’était un incident sev 0, et une erreur difficile à corriger, car de nombreuses équipes ont dû redémarrer manuellement un agent qui tournait habituellement en silence en arrière-plan

    • Je me dis que si Microsoft faisait des tests automatisés à une profondeur raisonnable, ce genre de chose n’arriverait pas sans cesse
      La récente panne mondiale ClownStrike a montré un manque de tests avant déploiement, et ce problème Microsoft montre que la même chose se produit aussi du côté des fondations de Windows
      Ce n’est pas très rassurant
    • Je me demande si c’est un récit venant de l’interne de Microsoft, ou une expérience vécue côté client
  • Le passage indiquant que les produits touchés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview fait mal
    Le fait qu’Entra, anciennement Azure Active Directory, ait été touché est assez grave
    Mais bon, qui a besoin des logs SSO ?

    • Il fut un temps où l’on regardait le ciel sans penser qu’un astéroïde allait tomber sur la Terre
      L’ignorance est une bénédiction
      Au passage, en voyant « Entra », j’ai cru lire Encarta et j’ai été brièvement enthousiaste à l’idée que ça existe encore
    • Bon sang, Microsoft devrait choisir un nom et s’y tenir
      Azure Active Directory n’était pas non plus un nom extraordinaire, mais renommer tout en permanence devient épuisant
    • En espagnol, entra signifie « entre / entre à l’intérieur », ce qui se prête bien aux blagues
    • Nous, nous en avons besoin. Nous avons des obligations de conformité
      Heureusement, nos systèmes de production ne sont pas intégrés à Entra ; seuls des éléments sans rapport avec les clients y sont connectés
    • S’il n’y a pas de logs, il n’y a pas de compromission
  • Je me demande quelle opération de renseignement cela a pu aider

    • Nous appelons ça APT -1, autrement dit Microsoft
    • Rien du tout. L’infrastructure interne de logging de Microsoft date des années 90
  • Il ne faut pas non plus oublier ce long article paru il y a un peu plus d’un mois
    Il rassemble des éléments montrant que Microsoft a échoué en matière de cybersécurité à l’étranger, et aurait délibérément laissé faire
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • D’un côté, ce rapport contient des éléments importants
      De l’autre, Schiller ne semble pas être un témoin totalement fiable, et le fait qu’il semble avoir demandé une supervision gouvernementale uniquement à des élus républicains MAGA extrêmes est aussi révélateur
      Cela dit, je suis d’accord à 100 % sur deux points : 1) il ne faut pas dépendre de personnel de support de nationalité étrangère pour assurer le support d’infrastructures critiques du gouvernement américain, et 2) toutes les grandes entreprises tech, y compris les hyperscalers, concluent des accords avec la sphère gouvernementale chinoise via des mandataires locaux comme Tencent ou Alicloud pour pouvoir opérer en Chine
      Il n’y a pas assez de supervision de ce type de contrats, ni des conditions qui permettent à du personnel côté chinois d’accéder directement aux piles matérielles et logicielles
  • Pourquoi l’avoir reconnu publiquement ?

    • Parce qu’ils se sont fait prendre à cacher le signalement dans un outil auquel la plupart des équipes de sécurité n’ont pas accès
    • Peut-être qu’ils préparent le terrain pour que cela paraisse moins énorme le jour où ils devront reconnaître qu’un acteur étranger a supprimé des logs
      C’est une manière assez courante pour MSFT de gérer ce genre de situation
  • Azure n’est pas terrible
    Le service Batch, en particulier, a un planificateur de tâches qui n’est absolument pas précis

  • Même les organisations avec les pires infrastructures et les pratiques d’exploitation les plus atroces que j’aie vues avaient mis en place des mécanismes sophistiqués pour rendre ce genre de chose pratiquement impossible
    Parce que si cela arrive, c’est vraiment grave
    Même avant cet incident, je ne pense pas que j’aurais voulu bâtir mon activité sur une infrastructure cloud managée Azure
    Même en faisant l’exercice de pensée consistant à imaginer comment cela pourrait être possible sans défaillance catastrophique de tout le système, j’ai du mal à voir

  • Il y avait ici des commentaires affirmant que msft était plus favorable aux entreprises que Google
    La raison invoquée était qu’ils ne perdaient pas les données, mais msft se situe à l’opposé de la fiabilité

  • Ça sent la dissimulation
    Cela ressemble à : « Une vulnérabilité de notre plateforme est apparue dans les syslogs des clients ! » « Vite, tout le monde, perdons les logs et gagnons du temps »