Microsoft แจ้งเตือนข้อมูล Security logs ของลูกค้าบางส่วนสูญหายไปเป็นเวลา 1 เดือน

Microsoft ออกมาแจ้งเตือนลูกค้ากลุ่มองค์กรว่า บริษัทพบ bug ที่อยู่มาเป็นเวลานานเกือบหนึ่งเดือนที่อาจทำให้ข้อมูล critical logs บางส่วนสูญหาย ซึ่งส่งผลให้บริษัทที่ใช้ข้อมูลเหล่านี้เพื่อตรวจจับพฤติกรรมที่ผิดปกติตกอยู่ในความเสี่ยง

ปัญหานี้ถูกรายงานครั้งแรกโดย Business Insider เมื่อต้นเดือนตุลาคมนี้ โดยมีรายงานว่า Microsoft ได้เริ่มแจ้งลูกค้าว่าข้อมูล logging data ของพวกเขาไม่ได้ถูกเก็บอย่างต่อเนื่องระหว่างวันที่ 2 กันยายน ถึง 19 กันยายน 2024

Log data ที่สูญหายรวมถึงข้อมูลด้านความปลอดภัยที่มักใช้ในการตรวจสอบการรับส่งข้อมูล, การกระทำ และความพยายามในการเข้าสู่ระบบที่น่าสงสัยในเครือข่าย ซึ่งทำให้มีโอกาสมากขึ้นที่การโจมตีจะไม่ถูกตรวจพบ

การตรวจสอบเหตุการณ์เบื้องต้น (PIR) ที่ส่งถึงลูกค้า และแชร์โดย Microsoft MVP - Joao Ferreira ได้ชี้แจงถึงปัญหาเพิ่มเติม โดยระบุว่าปัญหาการ logging นั้นเกิดขึ้นกับบริการบางอย่าง และจะคงอยู่จนถึงวันที่ 3 ตุลาคม

การตรวจสอบของ Microsoft ระบุว่าบริการต่อไปนี้ได้รับผลกระทบ โดยแต่ละบริการมีระดับการหยุดชะงักของการ logging ข้อมูลที่แตกต่างกัน:

  • Microsoft Entra: sign-in logs และ activity logs อาจไม่สมบูรณ์ log data จาก Entra ที่ส่งผ่าน Azure Monitor ไปยังผลิตภัณฑ์ด้านความปลอดภัยของ Microsoft เช่น Microsoft Sentinel, Microsoft Purview และ Microsoft Defender for Cloud ก็ได้รับผลกระทบเช่นกัน
  • Azure Logic Apps: พบ gaps เป็นช่วง ๆ ใน telemetry data ใน Log Analytics, Resource Logs, และการตั้งค่าการวิเคราะห์จาก Logic Apps
  • Azure Healthcare APIs: log data การวิเคราะห์บางส่วนไม่สมบูรณ์
  • Microsoft Sentinel: มี gaps ที่อาจเกิดขึ้นใน logs หรือเหตุการณ์ที่เกี่ยวข้องด้านความปลอดภัย ส่งผลต่อความสามารถของลูกค้าในการวิเคราะห์ข้อมูล ตรวจจับภัยคุกคาม หรือสร้างการแจ้งเตือนด้านความปลอดภัย
  • Azure Monitor: พบ gaps หรือผลลัพธ์ที่ลดลงเมื่อทำการรันคำสั่งการค้นหาที่อ้างอิงจาก log data ของบริการที่ได้รับผลกระทบ ในกรณีที่ลูกค้าตั้งค่าการแจ้งเตือนโดยอ้างอิงจาก log data นี้ การแจ้งเตือนอาจได้รับผลกระทบ
  • Azure Trusted Signing: พบ log data SignTransaction และ SignHistory ไม่สมบูรณ์บางส่วน ทำให้ปริมาณ signing log ลดลง และการเรียกเก็บเงินต่ำกว่าความเป็นจริง
  • Azure Virtual Desktop: Application Insights ไม่สมบูรณ์บางส่วน การเชื่อมต่อ และฟังก์ชันหลักของ AVD ไม่ได้รับผลกระทบ
  • Power Platform: พบความคลาดเคลื่อนเล็กน้อยที่ส่งผลต่อข้อมูลในรายงานต่าง ๆ รวมถึงรายงาน Analytics ใน Portal Admin และ Maker, รายงานการอนุญาตให้ใช้สิทธิ์, การส่งออกข้อมูลไปยัง Data Lake, Application Insights และ Activity Logging

Microsoft ระบุว่า ความล้มเหลวในการ logging เกิดจาก bug ที่เกิดขึ้นจากการแก้ไขปัญหาอื่นใน log collection service ของบริษัท

"การเปลี่ยนแปลงครั้งแรกถูกออกแบบมาเพื่อแก้ไขข้อจำกัดใน logging service แต่เมื่อถูกนำไปใช้งาน กลับไไปทำให้เกิดสภาวะ deadlock โดยไม่ได้ตั้งใจเมื่อ agent ถูกสั่งให้เปลี่ยนปลายทางการอัปโหลดข้อมูลระยะไกลอย่างรวดเร็วในขณะที่มีการส่งข้อมูลไปยังปลายทางแรกอยู่ ซึ่งส่งผลให้เกิด deadlock ของเธรดในส่วนประกอบการส่งข้อมูลทีละน้อย ทำให้โปรแกรมตัวแทนไม่สามารถอัปโหลดข้อมูลระยะไกลได้ สภาวะ deadlock นี้ส่งผลกระทบเฉพาะกลไกการส่งข้อมูลภายใน agent เท่านั้น แต่ฟังก์ชันอื่น ๆ ยังคงทำงานได้ตามปกติ เช่น การเก็บรวบรวม และบันทึกข้อมูลไปยังที่เก็บข้อมูลถาวรภายในของ agent การรีสตาร์ท agent หรือระบบปฏิบัติการ สามารถแก้ไขสภาวะ deadlock ได้ และเมื่อ agent เริ่มทำงานอีกครั้ง โดยจะอัปโหลดข้อมูลที่เก็บอยู่ในหน่วยความจำถาวรภายใน อย่างไรก็ตาม มีบางสถานการณ์ที่ปริมาณ log data ที่ agent รวบรวมได้มีขนาดใหญ่เกินขีดจำกัดของที่เก็บข้อมูลภายในก่อนที่จะเกิดการรีสตาร์ท ในกรณีเหล่านี้ agent จะเขียนทับข้อมูลที่เก่าที่สุดในที่เก็บข้อมูล (เป็นการทำงานแบบ buffer retaining ที่เก็บข้อมูลล่าสุดจนถึงขนาดที่กำหนด) log data ที่เกินขีดจำกัดของหน่วยความจำไม่สามารถกู้คืนได้"

Microsoft ระบุว่า ถึงแม้ว่าจะแก้ไข bug ตามแนวทางที่ปลอดภัยแล้วก็ตาม แต่ก็ไม่สามารถระบุปัญหาใหม่ได้ และต้องใช้เวลาสองสามวันจึงจะตรวจพบ

John Sheehan รองประธานฝ่ายองค์กรของ Microsoft ได้แถลงต่อ TechCrunch ว่า ขณะนี้ bug ได้รับการแก้ไขแล้ว และได้แจ้งลูกค้าทุกคนให้ทราบแล้ว

อย่างไรก็ตาม Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ระบุว่า เขาทราบว่ามีอย่างน้อย 2 บริษัทที่มี log data ที่สูญหายแต่ไม่ได้รับการแจ้งเตือน

เหตุการณ์นี้เกิดขึ้นหนึ่งปีหลังจากที่ Microsoft ถูกวิจารณ์จาก CISA และฝ่ายนิติบัญญัติในสหรัฐฯ เนื่องจากไม่ให้ log data ที่เพียงพอเพื่อใช้ในการตรวจจับการละเมิดความปลอดภัยฟรี แต่กลับเรียกเก็บเงินจากลูกค้าเพื่อเข้าถึงข้อมูลเหล่านี้

ในเดือนกรกฎาคม 2023 แฮ็กเกอร์ชาวจีนได้ขโมย signing key ของ Microsoft ซึ่งทำให้พวกเขาสามารถเจาะบัญชีขององค์กร และรัฐบาลที่ใช้ Microsoft Exchange และ Microsoft 365 และขโมยข้อมูลอีเมลได้

แม้ว่า Microsoft ยังไม่สามารถระบุได้ว่า key นั้นถูกขโมยไปได้อย่างไร รัฐบาลสหรัฐฯ ตรวจพบการโจมตีครั้งนี้เป็นครั้งแรกโดยใช้ advanced logging data ของ Microsoft

อย่างไรก็ตาม ความสามารถของ advanced logging data นี้มีให้เฉพาะลูกค้าของ Microsoft ที่ชำระเงินสำหรับฟีเจอร์ Purview Audit (Premium) logging เท่านั้น

ด้วยเหตุนี้ Microsoft จึงถูกวิจารณ์อย่างหนักที่ไม่ให้บริการ log data เพิ่มเติมนี้ฟรี ซึ่งจะช่วยให้องค์กรตรวจจับการโจมตีระดับสูงได้อย่างรวดเร็ว

Microsoft ได้ขยายความสามารถในการ logging ข้อมูลฟรีให้กับลูกค้า Purview Audit ทั้งหมดในเดือนกุมภาพันธ์ 2024 โดยทำงานร่วมกับ CISA สำนักงานบริหารจัดการ และงบประมาณ (OMB) และสำนักงานผู้อำนวยการไซเบอร์แห่งชาติ (ONCD)

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-warns-it-lost-some-customers-security-logs-for-a-month/