Microsoft ha notificado a sus clientes que no estaba almacenando consistentemente los registros de seguridad de sus productos en la nube durante una ventana de dos semanas en septiembre, dejando a los defensores de la red con un posible punto ciego para detectar intrusiones.
Según una notificación enviada a los clientes afectados, Microsoft dijo que «un error en uno de los agentes de monitorización internos de Microsoft resultó en un mal funcionamiento en algunos de los agentes al subir datos de registro a nuestra plataforma interna de registro».
La notificación dijo que la interrupción en el registro no fue causada por un incidente de seguridad, y «solo afectó la recopilación de eventos de registro».
Business Insider informó primero la pérdida de datos de registro a principios de octubre. Los detalles de la notificación no se han informado ampliamente. Como señaló el investigador de seguridad Kevin Beaumont, es probable que las notificaciones que Microsoft envió a las compañías afectadas solo sean accesibles para unos pocos usuarios con derechos de administrador de inquilino.
El registro ayuda a realizar un seguimiento de los eventos dentro de un producto, como información sobre usuarios que inician sesión e intentos fallidos, lo que puede ayudar a los defensores de la red a identificar posibles intrusiones sospechosas. La falta de registros podría dificultar la identificación del acceso no autorizado a las redes de los clientes durante esa ventana de dos semanas.
Los productos afectados incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview, según el informe de Business Insider. Los clientes afectados «pueden haber experimentado lagunas potenciales en registros o eventos relacionados con la seguridad, lo que posiblemente afectaba la capacidad de los clientes para analizar datos, detectar amenazas o generar alertas de seguridad», según la notificación.
Microsoft no respondió a preguntas específicas sobre la interrupción del registro, pero un ejecutivo de Microsoft confirmó a TechCrunch que el incidente fue causado por un «error operativo dentro de nuestro agente de monitorización interno».
«Hemos mitigado el problema retrocediendo un cambio de servicio. Nos hemos comunicado con todos los clientes afectados y proporcionaremos soporte según sea necesario», dijo John Sheehan, vicepresidente corporativo de Microsoft.
La interrupción en el registro ocurre un año después de que Microsoft fuera criticado por investigadores federales por retener registros de seguridad de ciertos departamentos del gobierno federal de EE. UU. que alojan sus correos electrónicos en la nube exclusiva para el gobierno de la compañía, lo que los investigadores dijeron que tener acceso a esos registros podría haber identificado una serie de intrusiones respaldadas por China mucho antes.
Los intrusos respaldados por China, conocidos como Storm-0558, irrumpieron en la red de Microsoft y robaron una llave digital que permitía a los hackers acceder sin restricciones a los correos electrónicos del gobierno de EE. UU. almacenados en la nube de Microsoft. Según un informe post mortem emitido por el gobierno sobre el ciberataque, el Departamento de Estado identificó las intrusiones porque pagó por una licencia de Microsoft de nivel superior que otorgaba acceso a los registros de seguridad de sus productos en la nube, que muchas otras agencias gubernamentales hackeadas de EE. UU. no tenían.
Tras los hackeos respaldados por China, Microsoft dijo que comenzaría a proporcionar registros a sus cuentas de nube de menor costo a partir de septiembre de 2023.
Carly Page contribuyó con la información.
