Microsoft ha notificado a los clientes que faltan más de dos semanas de registros de seguridad para algunos de sus productos en la nube, lo que deja a los defensores de la red sin datos críticos para detectar posibles intrusiones.
Según una notificación enviada a los clientes afectados, Microsoft dijo que “un error en uno de los agentes de monitoreo internos de Microsoft resultó en un mal funcionamiento en algunos de los agentes al cargar datos de registro en nuestra plataforma de registro interna” entre el 2 y el 19 de septiembre.
La notificación decía que la interrupción del registro no fue causada por un incidente de seguridad y “solo afectó la recopilación de eventos de registro”.
Información privilegiada sobre negocios reportado por primera vez la pérdida de datos de registro a principios de octubre. Los detalles de la notificación no se han divulgado ampliamente. Como lo señaló investigador de seguridad Kevin Beaumontlas notificaciones que Microsoft envió a las empresas afectadas probablemente solo sean accesibles para un puñado de usuarios con derechos de administrador de inquilinos.
El registro ayuda a realizar un seguimiento de los eventos dentro de un producto, como información sobre el inicio de sesión de los usuarios y los intentos fallidos, lo que puede ayudar a los defensores de la red a identificar intrusiones sospechosas. Los registros faltantes podrían hacer que sea más difícil identificar el acceso no autorizado a las redes de los clientes durante ese período de dos semanas.
Los productos afectados incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview, según el informe de Business Insider. Los clientes afectados “pueden haber experimentado posibles lagunas en los registros o eventos relacionados con la seguridad, lo que posiblemente afecte la capacidad de los clientes para analizar datos, detectar amenazas o generar alertas de seguridad”, decía la notificación.
Microsoft no respondió preguntas específicas sobre la interrupción del registro, pero un ejecutivo de Microsoft confirmó a TechCrunch que el incidente fue causado por un “error operativo dentro de nuestro agente de monitoreo interno”.
“Hemos mitigado el problema al revertir un cambio de servicio. Nos hemos comunicado con todos los clientes afectados y brindaremos soporte según sea necesario”, dijo John Sheehan, vicepresidente corporativo de Microsoft.
La interrupción del registro se produce un año después de que Microsoft fue criticado por investigadores federales por retener registros de seguridad de ciertos departamentos del gobierno federal de EE. UU. que alojan sus correos electrónicos en la nube reforzada y exclusiva para el gobierno de la empresa; Los investigadores dijeron que tener acceso a esos registros podría haber identificado una serie de intrusiones respaldadas por China mucho antes.
Los intrusos respaldados por China, conocidos como Storm-0558, irrumpieron en la red de Microsoft y robaron una clave digital que permitió a los piratas informáticos acceso ilimitado a los correos electrónicos del gobierno de EE. UU. almacenados en la nube de Microsoft. Según un autopsia del ciberataque emitida por el gobiernoel Departamento de Estado identificó las intrusiones porque pagó por una licencia de Microsoft de nivel superior que otorgaba acceso a los registros de seguridad de sus productos en la nube, algo que muchas otras agencias gubernamentales estadounidenses pirateadas no tenían.
Tras los ataques respaldados por China, Microsoft dijo comenzaría a proporcionar registros a sus cuentas en la nube peor pagadas a partir de septiembre de 2023.
Carly Page contribuyó con el informe.
