Microsoft telah memberi tahu pelanggannya bahwa mereka tidak secara konsisten menyimpan log keamanan untuk produk cloud-nya selama jangka waktu dua minggu di bulan September, sehingga membuat pembela jaringan memiliki potensi titik buta untuk mendeteksi kemungkinan intrusi.
Berdasarkan pemberitahuan yang dikirim ke pelanggan yang terkena dampak, Microsoft mengatakan bahwa “bug di salah satu agen pemantauan internal Microsoft mengakibatkan tidak berfungsinya beberapa agen saat mengunggah data log ke platform logging internal kami.”
Pemberitahuan tersebut menyatakan bahwa penghentian log tidak disebabkan oleh insiden keamanan, dan “hanya memengaruhi pengumpulan peristiwa log.”
Orang Dalam Bisnis pertama kali dilaporkan hilangnya data log pada awal bulan Oktober. Detail pemberitahuan tersebut belum banyak diberitakan. Sebagaimana dicatat oleh peneliti keamanan Kevin Beaumontpemberitahuan yang dikirim Microsoft ke perusahaan yang terkena dampak kemungkinan hanya dapat diakses oleh segelintir pengguna dengan hak admin penyewa.
Pencatatan log membantu melacak peristiwa dalam suatu produk, seperti informasi tentang pengguna yang masuk dan upaya yang gagal, yang dapat membantu pembela jaringan mengidentifikasi dugaan penyusupan. Log yang hilang dapat mempersulit identifikasi akses tidak sah ke jaringan pelanggan selama jangka waktu dua minggu tersebut.
Produk yang terpengaruh termasuk Microsoft Entra, Sentinel, Defender for Cloud, dan Purview, menurut laporan Business Insider. Pelanggan yang terkena dampak “mungkin telah mengalami potensi kesenjangan dalam log atau peristiwa terkait keamanan, yang mungkin memengaruhi kemampuan pelanggan untuk menganalisis data, mendeteksi ancaman, atau menghasilkan peringatan keamanan,” kata pemberitahuan tersebut.
Microsoft tidak akan menjawab pertanyaan spesifik tentang penghentian log tersebut, namun seorang eksekutif Microsoft mengkonfirmasi kepada TechCrunch bahwa insiden tersebut disebabkan oleh “bug operasional dalam agen pemantauan internal kami.”
“Kami telah memitigasi masalah ini dengan membatalkan perubahan layanan. Kami telah berkomunikasi dengan seluruh pelanggan yang terkena dampak dan akan memberikan dukungan sesuai kebutuhan,” kata John Sheehan, wakil presiden perusahaan Microsoft.
Pemblokiran logging ini terjadi setahun setelah Microsoft mendapat kecaman dari penyelidik federal karena menyembunyikan log keamanan dari beberapa departemen pemerintah federal AS yang menyimpan email mereka di cloud milik perusahaan yang diperkeras dan hanya milik pemerintah, yang menurut para penyelidik, memiliki akses ke log tersebut dapat mengidentifikasi a serangkaian intrusi yang didukung Tiongkok jauh lebih cepat.
Penyusup yang didukung Tiongkok, yang disebut sebagai Storm-0558, membobol jaringan Microsoft dan mencuri kunci kerangka digital yang memungkinkan para peretas mengakses tanpa batas ke email pemerintah AS yang disimpan di cloud Microsoft. Menurut otopsi serangan siber yang dikeluarkan pemerintah, Departemen Luar Negeri mengidentifikasi penyusupan tersebut karena Departemen Luar Negeri membayar lisensi Microsoft tingkat tinggi yang memberikan akses ke log keamanan untuk produk cloud-nya, yang tidak diberikan oleh banyak lembaga pemerintah AS lainnya yang diretas. memiliki.
Menyusul peretasan yang didukung Tiongkok, kata Microsoft itu akan mulai menyediakan log ke akun cloud berbayar lebih rendah mulai September 2023.
Carly Page menyumbangkan pelaporan.
