微软承认,由于存在漏洞,其近一个月未能收集关键的安全日志,导致企业客户容易受到网络攻击。
该问题发生在 9 月 2 日至 10 月 3 日之间,扰乱了用于监控可疑活动(例如未经授权的登录和网络行为)的重要日志数据的收集。
受影响的服务包括 Microsoft Entra、Azure Logic Apps、Microsoft Sentinel 和 Azure Monitor。
该问题由《Business Insider》首次报道,它导致安全日志无法持续上传,从而导致许多组织依赖的检测潜在威胁的数据不完整。
微软在发送给客户的初步事后审查(PIR)中承认了问题的严重性,微软随后公开分享了这份审查报告。
在审查中,微软证实,某些服务的日志记录问题一直持续到 10 月 3 日。
处理登录和活动日志的 Microsoft Entra 和负责遥测数据的 Azure Logic Apps 等服务受到的影响最为严重。
审查文件指出:“从 2024 年 9 月 2 日 UTC 时间 23:00 左右开始,微软内部监控代理之一的一个错误导致部分代理在将日志数据上传到我们的内部日志平台时出现故障。这导致受影响的微软服务的日志数据部分不完整。”
它是怎么发生的?
微软在解决公司日志收集服务中的另一个问题时意外引入了这个漏洞。
我们的调查显示,在解决日志收集服务中的错误的过程中,我们暴露了内部监控代理中的一个不相关的错误,这阻止了一部分代理上传日志事件数据。
微软解释称,该漏洞导致“死锁情况”,阻止日志上传到服务器。虽然遥测代理继续收集数据并将其存储在本地缓存中,但如果缓存在系统重新启动之前达到其大小限制,则旧日志将被覆盖,从而导致永久性数据丢失。
在调查此漏洞的过程中,我们确定此事件与任何安全漏洞无关。
对安全监控产生广泛影响
微软承认,日志记录故障影响了一系列关键服务。广泛使用的安全工具 Microsoft Sentinel 的日志存在漏洞,导致客户难以检测威胁并生成警报。
另一个重要的安全分析工具 Azure Monitor 也面临日志数据不完整问题,可能导致企业错过警报。
Microsoft Entra 遇到了登录和活动日志问题,而 Azure Logic Apps 的遥测数据出现中断。尽管这些服务的核心功能未受影响,但无法捕获关键日志数据大大削弱了客户监控安全事件的能力。
该公司指出,日志丢失是由于遥测代理出现故障,导致日志逐步备份,然后在达到缓存限制时覆盖数据。
该公司表示,这个问题“没有影响任何面向客户的服务或资源的正常运行时间”,只影响日志事件的收集。
此外,这个问题与任何安全漏洞无关。
这是一次不寻常的事件,关键日志的缺失表明有人未经授权访问的可能性很小,而且可能造成损害,而这些损害可能会在日后显现出来。
尽管问题十分严重,但微软花了数天时间才发现问题,这进一步延长了受影响公司的风险。
尽管微软表示已解决该漏洞并通知了所有受影响的客户,但一些组织声称他们并未被告知该问题。
至少有两家缺少日志数据的公司没有收到微软的通知。
令人担忧的是微软花了多长时间才发现这个问题,可能会出现漏洞,但他们需要专注于能够快速检测和修复漏洞的系统和流程——只需几小时或几天,而不是几周或几个月。
作为全球最大的科技公司之一,微软在安全方面深受企业信赖,因此必须从字面和精神上优先考虑网络安全。
这已经不是第一次了
这一事件再次引起了人们对微软日志记录实践的关注,特别是考虑到该公司此前因向客户收取高级日志记录功能的费用而受到批评。
2023 年,微软因未免费提供足够的日志数据来检测漏洞而受到CISA和立法者的批评,促使客户为其 Purview Audit (Premium) 日志记录功能付费。
2023 年,黑客使用窃取的 Microsoft 签名密钥入侵企业和政府 Microsoft 365 账户后,这种批评进一步升级。
该漏洞是使用 Microsoft 的付费日志记录功能检测到的,这导致许多客户没有识别攻击所需的工具。
受到批评后,微软与 CISA 和其他联邦机构合作,扩大了其免费日志记录功能。
2024 年 2 月,该公司开始向所有 Purview Audit 标准客户提供增强型日志记录服务,从而可以更广泛地访问威胁检测所需的数据。
微软最近在安全产品方面遇到了一些挑战。我们的客户表示,他们计划扩展以微软为中心的安全解决方案;然而,这些问题削弱了他们的信心。
尽管微软已采取措施解决日志透明度问题并扩大对其高级工具的访问,但这一最新漏洞凸显了日志在网络安全中发挥的重要作用。
该事件提醒人们,日志数据在检测未经授权的访问方面非常重要,并强调了当这些数据被泄露时组织面临的挑战。