Microsoft telah memberi tahu pelanggan bahwa mereka kehilangan log keamanan selama lebih dari dua minggu untuk beberapa produk cloud-nya, sehingga pembela jaringan tidak memiliki data penting untuk mendeteksi kemungkinan intrusi.
Berdasarkan pemberitahuan yang dikirim ke pelanggan yang terkena dampak, Microsoft mengatakan bahwa “bug di salah satu agen pemantauan internal Microsoft mengakibatkan kegagalan fungsi di beberapa agen saat mengunggah data log ke platform pencatatan internal kami” antara tanggal 2 September dan 19 September.
Pemberitahuan tersebut menyatakan bahwa penghentian log tidak disebabkan oleh insiden keamanan, dan “hanya memengaruhi pengumpulan peristiwa log.”
Orang Dalam Bisnis pertama kali dilaporkan hilangnya data log pada awal Oktober. Detail pemberitahuan tersebut belum banyak diberitakan. Sebagaimana dicatat oleh peneliti keamanan Kevin Beaumontpemberitahuan yang dikirim Microsoft ke perusahaan yang terkena dampak kemungkinan hanya dapat diakses oleh segelintir pengguna yang memiliki hak admin penyewa.
Pencatatan log membantu melacak peristiwa dalam suatu produk, seperti informasi tentang pengguna yang masuk dan upaya yang gagal, yang dapat membantu pembela jaringan mengidentifikasi dugaan penyusupan. Log yang hilang dapat mempersulit identifikasi akses tidak sah ke jaringan pelanggan selama jangka waktu dua minggu tersebut.
Produk yang terpengaruh termasuk Microsoft Entra, Sentinel, Defender for Cloud, dan Purview, menurut laporan Business Insider. Pelanggan yang terkena dampak “mungkin telah mengalami potensi kesenjangan dalam log atau peristiwa terkait keamanan, yang mungkin memengaruhi kemampuan pelanggan untuk menganalisis data, mendeteksi ancaman, atau menghasilkan peringatan keamanan,” kata pemberitahuan tersebut.
Microsoft tidak akan menjawab pertanyaan spesifik tentang penghentian log, tetapi seorang eksekutif Microsoft mengonfirmasi kepada TechCrunch bahwa insiden tersebut disebabkan oleh “bug operasional dalam agen pemantauan internal kami.”
“Kami telah memitigasi masalah ini dengan membatalkan perubahan layanan. Kami telah berkomunikasi dengan seluruh pelanggan yang terkena dampak dan akan memberikan dukungan sesuai kebutuhan,” kata John Sheehan, wakil presiden perusahaan Microsoft.
Pemadaman log terjadi setahun setelah Microsoft mendapat kecaman dari penyelidik federal karena menyembunyikan log keamanan dari departemen tertentu di pemerintah federal AS yang menyimpan email mereka di cloud khusus pemerintah milik perusahaan; para penyelidik mengatakan bahwa memiliki akses terhadap catatan-catatan tersebut dapat mengidentifikasi serangkaian intrusi yang didukung Tiongkok jauh lebih cepat.
Penyusup yang didukung Tiongkok, yang disebut sebagai Storm-0558, membobol jaringan Microsoft dan mencuri kunci kerangka digital yang memungkinkan para peretas mengakses tanpa batas ke email pemerintah AS yang disimpan di cloud Microsoft. Menurut a postmortem serangan siber yang dikeluarkan pemerintahDepartemen Luar Negeri mengidentifikasi gangguan tersebut karena mereka membayar lisensi Microsoft tingkat tinggi yang memberikan akses ke log keamanan untuk produk cloud-nya, yang tidak dimiliki oleh banyak lembaga pemerintah AS lainnya yang diretas.
Menyusul peretasan yang didukung Tiongkok, kata Microsoft itu akan mulai menyediakan log ke akun cloud dengan bayaran lebih rendah mulai September 2023.
Carly Page menyumbangkan pelaporan.
