A Microsoft informou que um erro em seu sistema causou a perda de registros de segurança críticos de clientes empresariais por quase um mês. Esse incidente afetou empresas que dependem desses dados para monitorar atividades suspeitas e garantir a segurança de suas redes.
Microsoft perde registros de segurança de clientes por quase um mês devido a falha técnica
O problema, inicialmente revelado pelo Business Insider, afetou a coleta de dados entre 2 e 19 de setembro de 2024. Os logs perdidos incluíam informações importantes para detectar tentativas de login e tráfego suspeito, o que aumentou o risco de ataques passarem despercebidos.
De acordo com uma revisão preliminar pós-incidente (PIR), compartilhada pelo especialista João Ferreira, o impacto do erro variou entre diferentes serviços da Microsoft. Embora a falha tenha sido notada inicialmente em setembro, alguns serviços continuaram a apresentar problemas até 3 de outubro.
Os principais serviços afetados incluíram:
- Microsoft Entra: Possíveis falhas nos registros de login e de atividade, afetando o fluxo de dados para produtos como Microsoft Sentinel e Microsoft Defender for Cloud.
- Azure Logic Apps: Lacunas intermitentes na telemetria registrada no Log Analytics e Logs de Recursos.
- APIs do Azure Healthcare: Registros de diagnóstico incompletos.
- Microsoft Sentinel: Possíveis falhas em logs relacionados à segurança, prejudicando a análise de dados e a geração de alertas.
- Azure Monitor: Redução de resultados em consultas baseadas em logs de serviços impactados.
- Azure Virtual Desktop: Registros parciais no Application Insights, embora a conectividade principal não tenha sido afetada.
- Power Platform: Pequenas discrepâncias nos dados de relatórios, como licenciamento e exportações de dados para o Data Lake.
Notícias Relacionadas
Explorações aceleradas
Análise do Google revela aceleração no desenvolvimento de exploits em 2023
Relatório do Google revela que 70% das vulnerabilidades exploradas em 2023 ocorreram antes da liberação de patches, e o tempo médio para a criação de exploits caiu para cinco dias, exigindo maior rapidez na resposta de segurança.
Risco crítico
Vulnerabilidade crítica no Kubernetes Image Builder permite acesso root
Uma vulnerabilidade crítica no Kubernetes Image Builder permite acesso root em condições específicas. Atualizações e medidas corretivas são recomendadas para mitigar riscos.
A Microsoft atribuiu o problema a um erro introduzido durante a correção de um limite no serviço de coleta de registros. Ao resolver um problema, um bug resultou em um “deadlock” que impedia o upload de dados de telemetria. O problema foi detectado tarde, o que permitiu a perda parcial dos registros.
Apesar de a Microsoft ter corrigido o bug, especialistas em segurança, como Kevin Beaumont, afirmam que algumas empresas ainda não foram notificadas sobre os dados ausentes. Esse incidente ocorre após um ano de críticas à Microsoft por cobrar de seus clientes pelos registros avançados necessários para detectar violações de segurança.
Em julho de 2023, a empresa foi alvo de ataques cibernéticos, onde hackers chineses roubaram uma chave de assinatura da Microsoft, violando contas corporativas e governamentais do Microsoft Exchange e do Microsoft 365. Na época, as autoridades norte-americanas detectaram o ataque usando dados de registro avançados que eram disponibilizados apenas para clientes que pagavam por esse recurso.
Em resposta às críticas, a Microsoft expandiu o acesso a recursos de registro para todos os clientes do Purview Audit em fevereiro de 2024, permitindo que mais organizações pudessem monitorar ataques avançados.
