Microsoft, neredeyse bir ay boyunca bir hatanın kritik günlüklerin kısmen kaybolmasına neden olduğu ve yetkisiz etkinlikleri tespit etmek için bu verilere güvenen şirketleri riske attığı konusunda kurumsal müşterilerini uyarıyor.
Sorun ilk olarak bu ayın başlarında Business Insider tarafından rapor edildi ve Microsoft’un müşterilere günlük verilerinin 2 Eylül ile 19 Eylül arasında tutarlı bir şekilde toplanmadığını bildirmeye başladığını bildirdi.
Kayıp günlükler, bir ağdaki şüpheli trafiği, davranışları ve oturum açma girişimlerini izlemek için yaygın olarak kullanılan güvenlik verilerini içerir ve bu da saldırıların tespit edilmeme olasılığını artırır.
Müşterilere gönderilen ve Microsoft MVP’si Joao Ferreira tarafından paylaşılan Olay Sonrası Ön İnceleme (PIR), bazı hizmetlerde kayıt sorunlarının daha kötü olduğunu ve 3 Ekim’e kadar devam edeceğini söyleyerek soruna daha fazla ışık tutuyor.
Microsoft’un incelemesi, her biri değişen derecelerde günlük kesintisine sahip olan aşağıdaki hizmetlerin etkilendiğini söylüyor:
- Microsoft Girişi: Eksik olabilecek oturum açma günlükleri ve etkinlik günlükleri. Azure Monitor aracılığıyla Microsoft Sentinel, Microsoft Purview ve Bulut için Microsoft Defender dahil olmak üzere Microsoft Güvenlik ürünlerine akan Entra günlükleri de etkilendi.
- Azure Mantık Uygulamaları: Logic Apps’in Log Analytics, Kaynak Günlükleri ve Tanılama ayarlarında telemetri verilerinde aralıklı boşluklar yaşandı.
- Azure Healthcare API’leri: Kısmen eksik tanılama günlükleri.
- Microsoft Sentinel: Müşterilerin verileri analiz etme, tehditleri tespit etme veya güvenlik uyarıları oluşturma yeteneğini etkileyen, güvenlikle ilgili günlükler veya olaylardaki potansiyel boşluklar.
- Azure İzleyici: Etkilenen hizmetlerden gelen günlük verilerine dayalı olarak sorgular çalıştırılırken gözlemlenen boşluklar veya azalan sonuçlar. Müşterilerin uyarıları bu günlük verilerine göre yapılandırdığı senaryolarda uyarılar etkilenmiş olabilir.
- Azure Güvenilir İmzalama: Kısmen tamamlanmamış SignTransaction ve SignHistory günlükleri, imzalama günlük hacminin azalmasına ve eksik faturalandırmaya neden oldu.
- Azure Sanal Masaüstü: Application Insights’ta kısmen eksik. AVD’nin ana bağlantısı ve işlevselliği etkilenmedi.
- Güç Platformu: Admin ve Maker portalındaki Analytics raporları, Lisanslama raporları, Data Lake’e Veri Dışa Aktarmaları, Application Insights ve Etkinlik Günlüğü dahil olmak üzere çeşitli raporlarda verileri etkileyen küçük farklılıklarla karşılaşın.
Microsoft, günlük kaydı hatasının, şirketin günlük toplama hizmetindeki farklı bir sorunu düzeltirken ortaya çıkan bir hatadan kaynaklandığını söylüyor.
“İlk değişiklik, günlük kaydı hizmetindeki bir limiti ele almaktı, ancak dağıtıldığında, aracı ilk noktaya bir gönderim devam ederken hızla değişen bir şekilde telemetri yükleme uç noktasını değiştirmeye yönlendirilirken yanlışlıkla bir kilitlenme koşulunu tetikledi. Bu, aracının telemetriyi yüklemesini engelleyen, gönderme bileşenindeki iş parçacıklarının kademeli olarak kilitlenmesine neden oldu. Kilitlenme, aracının yerel dayanıklı önbelleğine veri toplama ve işleme dahil olmak üzere yalnızca normal şekilde çalışan aracı içindeki gönderme mekanizmasını etkiledi. Aracının veya işletim sisteminin yeniden başlatılması kilitlenmeyi çözer ve aracı, başlatıldığında yerel önbelleğindeki verileri yükler. Aracı tarafından toplanan günlük verileri miktarının, yeniden başlatmadan önce yerel aracının önbellek sınırından daha büyük olduğu durumlar vardı. meydana geldi ve bu durumlarda aracı, önbellekteki en eski verilerin üzerine yazdı (dairesel arabellek, en yeni verileri boyut sınırına kadar saklar). Önbellek boyutu sınırını aşan günlük verileri kurtarılamaz.”
❖ Microsoft
Microsoft, güvenli dağıtım uygulamalarını izleyerek hatayı düzeltmiş olmalarına rağmen yeni sorunu tespit edemediklerini ve tespit etmenin birkaç gün sürdüğünü söylüyor.
TechCrunch’a yaptığı açıklamada Microsoft kurumsal başkan yardımcısı John Sheehan, hatanın artık çözüldüğünü ve tüm müşterilerin bilgilendirildiğini söyledi.
Ancak siber güvenlik uzmanı Kevin Beaumont, günlük verileri eksik olan ve bildirim almayan en az iki şirketin bildiğini söylüyor.
Bu olay, Microsoft’un, ihlalleri ücretsiz olarak tespit etmek için yeterli günlük verisini sağlamadığı ve bunun yerine müşterilerden ödeme talep ettiği için CISA ve kanun koyucular tarafından eleştirilmesinden bir yıl sonra meydana geldi.
Temmuz 2023’te Çinli bilgisayar korsanları, kurumsal ve resmi Microsoft Exchange ve Microsoft 365 hesaplarına sızmalarına ve e-postaları çalmalarına olanak tanıyan bir Microsoft imzalama anahtarını çaldı.
Microsoft, anahtarın nasıl çalındığını henüz belirlememiş olsa da ABD hükümeti, saldırıları ilk olarak Microsoft’un gelişmiş günlük verilerini kullanarak tespit etti.
Ancak, bu gelişmiş günlük kaydı yetenekleri yalnızca Microsoft’un Purview Denetimi (Premium) günlük kaydı özelliği için ödeme yapan Microsoft müşterileri tarafından kullanılabiliyordu.
Bu nedenle Microsoft, kuruluşların gelişmiş saldırıları hızlı bir şekilde tespit edebilmesi için bu ek günlük verilerini ücretsiz olarak sağlamadığı için geniş çapta eleştirildi.
CISA, Yönetim ve Bütçe Ofisi (OMB) ve Ulusal Siber Direktör Ofisi (ONCD) ile birlikte çalışan Microsoft, Şubat 2024’te tüm Purview Audit standart müşterileri için ücretsiz günlük kaydı özelliklerini genişletti.