A Microsoft informou que um erro em seu sistema causou a perda de registros de segurança críticos de clientes empresariais por quase um mês. Esse incidente afetou empresas que dependem desses dados para monitorar atividades suspeitas e garantir a segurança de suas redes.
Microsoft perde registros de segurança de clientes por quase um mês devido a falha técnica
O problema, inicialmente revelado pelo Business Insider, afetou a coleta de dados entre 2 e 19 de setembro de 2024. Os logs perdidos incluíam informações importantes para detectar tentativas de login e tráfego suspeito, o que aumentou o risco de ataques passarem despercebidos.
De acordo com uma revisão preliminar pós-incidente (PIR), compartilhada pelo especialista João Ferreira, o impacto do erro variou entre diferentes serviços da Microsoft. Embora a falha tenha sido notada inicialmente em setembro, alguns serviços continuaram a apresentar problemas até 3 de outubro.
Os principais serviços afetados incluíram:
- Microsoft Entra: Possíveis falhas nos registros de login e de atividade, afetando o fluxo de dados para produtos como Microsoft Sentinel e Microsoft Defender for Cloud.
- Azure Logic Apps: Lacunas intermitentes na telemetria registrada no Log Analytics e Logs de Recursos.
- APIs do Azure Healthcare: Registros de diagnóstico incompletos.
- Microsoft Sentinel: Possíveis falhas em logs relacionados à segurança, prejudicando a análise de dados e a geração de alertas.
- Azure Monitor: Redução de resultados em consultas baseadas em logs de serviços impactados.
- Azure Virtual Desktop: Registros parciais no Application Insights, embora a conectividade principal não tenha sido afetada.
- Power Platform: Pequenas discrepâncias nos dados de relatórios, como licenciamento e exportações de dados para o Data Lake.
Notícias Relacionadas
A Microsoft atribuiu o problema a um erro introduzido durante a correção de um limite no serviço de coleta de registros. Ao resolver um problema, um bug resultou em um “deadlock” que impedia o upload de dados de telemetria. O problema foi detectado tarde, o que permitiu a perda parcial dos registros.
Apesar de a Microsoft ter corrigido o bug, especialistas em segurança, como Kevin Beaumont, afirmam que algumas empresas ainda não foram notificadas sobre os dados ausentes. Esse incidente ocorre após um ano de críticas à Microsoft por cobrar de seus clientes pelos registros avançados necessários para detectar violações de segurança.
Em julho de 2023, a empresa foi alvo de ataques cibernéticos, onde hackers chineses roubaram uma chave de assinatura da Microsoft, violando contas corporativas e governamentais do Microsoft Exchange e do Microsoft 365. Na época, as autoridades norte-americanas detectaram o ataque usando dados de registro avançados que eram disponibilizados apenas para clientes que pagavam por esse recurso.
Em resposta às críticas, a Microsoft expandiu o acesso a recursos de registro para todos os clientes do Purview Audit em fevereiro de 2024, permitindo que mais organizações pudessem monitorar ataques avançados.
