Microsoft ha notificado a sus clientes que faltan más de dos semanas de registros de seguridad de sus productos.
Microsoft ha notificado a sus clientes que faltan más de dos semanas de registros de seguridad de algunos de sus productos en la nube, lo que deja a los defensores de la red sin datos críticos para detectar posibles intrusiones.
Según una notificación enviada a los clientes afectados, Microsoft dijo que “un error en uno de los agentes de monitoreo interno de Microsoft resultó en un mal funcionamiento de algunos de los agentes al cargar datos de registro en nuestra plataforma de registro interna” entre el 2 y el 19 de septiembre.
La notificación decía que la interrupción del registro no fue causada por un incidente de seguridad y “solo afectó la recopilación de eventos de registro”.
Business Insider fue el primero en informar sobre la pérdida de datos de registro a principios de octubre. Los detalles de la notificación no se han divulgado ampliamente. Como señaló el investigador de seguridad Kevin Beaumont , las notificaciones que Microsoft envió a las empresas afectadas probablemente solo sean accesibles para un puñado de usuarios con derechos de administrador de inquilinos.
Los registros ayudan a realizar un seguimiento de los eventos dentro de un producto, como la información sobre los usuarios que inician sesión y los intentos fallidos, lo que puede ayudar a los defensores de la red a identificar intrusiones sospechosas. La falta de registros podría dificultar la identificación de accesos no autorizados a las redes de los clientes durante ese período de dos semanas.
Según el informe de Business Insider, los productos afectados incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview. Los clientes afectados “pueden haber experimentado posibles lagunas en los registros o eventos relacionados con la seguridad, lo que posiblemente afecte la capacidad de los clientes para analizar datos, detectar amenazas o generar alertas de seguridad”, según la notificación.
Microsoft no respondió preguntas específicas sobre la interrupción del registro, pero un ejecutivo de Microsoft confirmó a TechCrunch que el incidente fue causado por un «error operativo dentro de nuestro agente de monitoreo interno».
“Hemos mitigado el problema revirtiendo un cambio en el servicio. Nos hemos comunicado con todos los clientes afectados y les brindaremos soporte según sea necesario”, afirmó John Sheehan, vicepresidente corporativo de Microsoft.
La interrupción del registro se produce un año después de que Microsoft fuera criticado por investigadores federales por retener registros de seguridad de ciertos departamentos del gobierno federal de Estados Unidos que alojan sus correos electrónicos en la nube reforzada y exclusiva para el gobierno de la compañía; los investigadores dijeron que tener acceso a esos registros podría haber identificado una serie de intrusiones respaldadas por China mucho antes.
Los intrusos, respaldados por China y conocidos como Storm-0558, entraron en la red de Microsoft y robaron una llave maestra digital que les permitió acceder sin restricciones a los correos electrónicos del gobierno de Estados Unidos almacenados en la nube de Microsoft. Según un informe posterior al ciberataque publicado por el gobierno , el Departamento de Estado identificó las intrusiones porque pagó por una licencia de Microsoft de nivel superior que otorgaba acceso a los registros de seguridad de sus productos en la nube, que muchas otras agencias del gobierno estadounidense atacadas no tenían.
Tras los ataques respaldados por China, Microsoft dijo que comenzaría a proporcionar registros a sus cuentas en la nube con salarios más bajos a partir de septiembre de 2023. TechCrunch. Z. W. Traducido al español
Carly Page colaboró con este reportaje.