2 điểm bởi GN⁺ 2024-10-22 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một số khách hàng đám mây của Microsoft đã gặp khoảng trống nhật ký bảo mật hơn 2 tuần, có thể đã mất dữ liệu cần thiết cho phát hiện xâm nhập và phân tích sau sự cố
  • Từ ngày 2/9 đến 19/9, lỗi ở tác nhân giám sát nội bộ đã cản trở việc tải lên một số nhật ký, khiến dữ liệu không được lưu lại trên nền tảng ghi log nội bộ
  • Microsoft cho biết nguyên nhân là lỗi vận hành chứ không phải sự cố bảo mật, và phạm vi ảnh hưởng chỉ giới hạn ở “thu thập sự kiện nhật ký”
  • Các sản phẩm bị ảnh hưởng gồm Microsoft Entra, Sentinel, Defender for Cloud, Purview, và có thể đã tạo ra khoảng trống trong việc phân tích dữ liệu, phát hiện mối đe dọa và tạo cảnh báo bảo mật của khách hàng
  • Sau vụ xâm nhập có liên hệ với Trung Quốc năm 2023, khi Microsoft đã nói sẽ mở rộng cung cấp nhật ký cả cho các gói giá thấp hơn, vấn đề khả năng truy cập và độ tin cậy lưu giữ của nhật ký bảo mật đám mây lại một lần nữa trở thành tâm điểm

Thiếu hụt nhật ký bảo mật đám mây của Microsoft

  • Microsoft đã thông báo cho một số khách hàng sản phẩm đám mây rằng nhật ký bảo mật hơn 2 tuần đã bị thiếu
    • Thời gian bị thiếu là từ ngày 2/9 đến 19/9
    • Thông báo gửi khách hàng cho biết một phần tác nhân giám sát nội bộ của Microsoft đã hoạt động sai trong quá trình tải dữ liệu nhật ký lên nền tảng ghi log nội bộ
  • Sự cố ghi log này không phải do sự cố bảo mật gây ra, và Microsoft giải thích rằng ảnh hưởng chỉ xảy ra với “thu thập sự kiện nhật ký”
  • Ghi log là chức năng theo dõi các sự kiện trong sản phẩm, có thể bao gồm dữ liệu như thông tin đăng nhập người dùng và các lần thử thất bại
    • Nếu không có nhật ký, việc xác định truy cập trái phép vào mạng của khách hàng trong giai đoạn đó có thể trở nên khó khăn hơn
  • Business Insider là đơn vị đầu tiên đưa tin về việc mất dữ liệu nhật ký vào đầu tháng 10
  • Nhà nghiên cứu bảo mật Kevin Beaumont cho rằng thông báo Microsoft gửi đến các doanh nghiệp bị ảnh hưởng nhiều khả năng chỉ hiển thị với một số ít người dùng có quyền quản trị tenant

Sản phẩm bị ảnh hưởng và tác động với khách hàng

  • Các sản phẩm bị ảnh hưởng gồm Microsoft Entra, Sentinel, Defender for Cloud, Purview
  • Thông báo gửi khách hàng cho biết có thể đã xuất hiện khoảng trống tiềm tàng trong các nhật ký hoặc sự kiện liên quan đến bảo mật
    • Khoảng trống này có thể đã ảnh hưởng đến khả năng phân tích dữ liệu, phát hiện mối đe dọa và tạo cảnh báo bảo mật
  • Microsoft không trả lời các câu hỏi cụ thể về sự cố ghi log, nhưng phó chủ tịch doanh nghiệp John Sheehan xác nhận nguyên nhân là “lỗi vận hành trong tác nhân giám sát nội bộ”
    • Microsoft đã rollback thay đổi dịch vụ để giảm nhẹ vấn đề
    • Công ty cho biết đã thông báo cho tất cả khách hàng bị ảnh hưởng và sẽ cung cấp hỗ trợ cần thiết

Vấn đề nhật ký lại bùng lên sau vụ xâm nhập liên quan đến Trung Quốc năm 2023

  • Sự cố lần này xảy ra một năm sau khi Microsoft bị các nhà điều tra liên bang Mỹ chỉ trích vào năm 2023 vì không cung cấp nhật ký bảo mật cho một số cơ quan thuộc chính phủ liên bang Mỹ
    • Khi đó, các nhà điều tra cho rằng nếu có thể truy cập các nhật ký đó, họ đã có thể xác định vụ xâm nhập liên quan đến Trung Quốc sớm hơn nhiều
  • Nhóm xâm nhập có liên hệ với Trung Quốc Storm-0558 đã đột nhập vào mạng Microsoft và đánh cắp một “skeleton key” kỹ thuật số
    • Với khóa này, họ có thể truy cập không hạn chế vào email của chính phủ Mỹ được lưu trên đám mây Microsoft
  • Theo phân tích sau sự cố tấn công mạng của chính phủ, State Department đã phát hiện vụ xâm nhập vì đã mua giấy phép Microsoft ở cấp cao hơn để truy cập nhật ký bảo mật của sản phẩm đám mây
    • Nhiều cơ quan chính phủ Mỹ khác bị ảnh hưởng bởi vụ hack không có cùng quyền truy cập nhật ký đó
  • Sau vụ hack có liên hệ với Trung Quốc, Microsoft cho biết từ tháng 9/2023 sẽ cung cấp nhật ký cả cho các tài khoản đám mây gói giá thấp hơn

1 bình luận

 
GN⁺ 2024-10-22
Ý kiến trên Hacker News
  • Nếu dùng Azure trong một môi trường production thực tế thì tôi nghĩ trách nhiệm là ở bạn
    Kể cả họ cho 100.000 USD tín dụng miễn phí, chắc cũng không thuyết phục được tôi dùng quá một tháng
    Nó đắt, giao diện cực kỳ thiếu thân thiện, và trên hết, vì những chuyện như thế này mà các sản phẩm của họ trông không đủ đáng tin để giao tải production

    • Nếu từ nhà cung cấp cloud khác chuyển sang Azure, có quá nhiều đèn cảnh báo màu cam đậm
      Tổng thể thiếu nhất quán và có cảm giác chắp vá, nên khó tin là ai đó có thể audit bảo mật cho ra hồn
      Phần khó chịu nhất là đăng nhập: redirect và lỗi nhiều đến vô lý, khó mà nói là nó hoạt động đúng như dự định
      Ví dụ tôi cố tải BAA xuống thì bị kẹt trong vòng lặp đăng nhập trên trang web tin cậy, nhưng cũng trên cùng trình duyệt đó tôi vẫn xem được Azure console bình thường
      Tôi đăng xuất khỏi tài khoản Azure để xem đăng nhập mới có giúp gì không, nhưng lần đăng nhập tiếp theo lại không hiện xác thực 2 bước
      Nếu tôi đã đăng xuất rõ ràng trong cửa sổ trình duyệt thì tức là đã thu hồi sự tin cậy đối với thiết bị đó, nên việc xác thực 2 bước không được kích hoạt là một dấu hiệu cảnh báo lớn
      Cuối cùng tôi không tải được BAA và cũng không mở được ticket, nhưng kỳ lạ là đồng nghiệp của tôi lại tải xuống bình thường
    • Gần đây tôi thấy một nơi định cài phần mềm MS lên mọi máy Linux để tích hợp vào Azure, và tôi đã bật cười
      Đến mức đó thì nên dừng lại một chút mà suy nghĩ
      Chẳng phải ngay từ đầu họ chọn Linux vì muốn có một hệ thống đáng tin cậy sao?
    • Tôi không muốn tỏ ra troll trước câu “có thể làm tốt hơn”, nhưng tôi thực sự nghĩ là họ không làm được
      Sản phẩm “tốt” cuối cùng họ làm ra là SQL Server/Exchange/Windows 2000, và đó là chuyện từ rất lâu rồi
    • Ngay cả nội bộ cũng vậy: “Ngay cả LinkedIn cũng không mặn mà lắm với cloud của Microsoft: từ bỏ việc chuyển sang Azure”
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • Đáng tiếc là những lựa chọn như vậy do cấp trên quyết định, và họ chỉ chạy theo trào lưu
  • Gần như mọi đội đều có lỗi thật trong ứng dụng chạy trên VM, và ứng dụng đó có cấu trúc đẩy log ứng dụng vào kho lưu trữ
    Đội chúng tôi cũng phải khởi động lại process để log chảy trở lại
    Đây là một sự cố sev 0, và là một sai lầm không dễ sửa vì rất nhiều đội phải khởi động lại thủ công những agent vốn bình thường chạy lặng lẽ ở nền

    • Tôi nghĩ nếu Microsoft thực hiện kiểm thử tự động ở độ sâu hợp lý thì những chuyện như thế này đã không liên tục xảy ra
      Sự cố toàn cầu ClownStrike gần đây cho thấy thiếu kiểm thử trước khi triển khai, còn vấn đề Microsoft lần này cho thấy chuyện đó cũng đang xảy ra ở phần gốc của Windows
      Trông chẳng đẹp đẽ gì
    • Không rõ đây là chuyện nội bộ Microsoft, hay là trải nghiệm từ phía khách hàng
  • Điều đau ở đây là các sản phẩm bị ảnh hưởng gồm Microsoft Entra, Sentinel, Defender for Cloud, Purview
    Entra, tức Azure Active Directory trước đây, bị ảnh hưởng thì khá nghiêm trọng
    Nhưng dù sao ai mà cần log SSO chứ?

    • Có một thời tôi nhìn lên trời mà không nghĩ tiểu hành tinh sẽ rơi xuống Trái Đất
      Không biết thì đỡ lo
      Nhân tiện, thấy chữ Entra tôi tưởng là Encarta và đã hơi phấn khích một lúc vì tưởng nó vẫn còn tồn tại
    • Trời ơi, Microsoft nên chọn một cái tên rồi dùng tiếp đi
      Azure Active Directory cũng không phải cái tên xuất sắc, nhưng cứ liên tục rebrand mọi thứ thì quá mệt mỏi
    • Trong tiếng Tây Ban Nha, entra nghĩa là “vào đi/đi vào”, nên rất dễ thành chuyện để đùa
    • Chúng tôi thì cần. Chúng tôi có nghĩa vụ tuân thủ
      May là hệ thống production không tích hợp với Entra, chỉ những thứ không liên quan đến khách hàng mới được kết nối
    • Không có log thì cũng không có vụ xâm nhập nào
  • Tò mò không biết chuyện này đã hỗ trợ chiến dịch của cơ quan tình báo nào

    • Chúng tôi gọi nó là APT -1, tức Microsoft
    • Chẳng có gì đâu. Hạ tầng logging nội bộ của Microsoft là đồ từ thập niên 90
  • Cũng đừng quên bài viết dài này mới xuất hiện hơn một tháng trước
    Bài này tổng hợp các tình tiết cho thấy Microsoft thất bại trong an ninh mạng ở nước ngoài, và dường như cố tình làm ngơ
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • Một mặt, báo cáo này có phần cốt lõi quan trọng
      Mặt khác, Schiller trông không hẳn là một nhân chứng hoàn toàn đáng tin, và việc đối tượng mà ông ta kêu gọi chính phủ giám sát dường như chỉ giới hạn ở các nghị sĩ Cộng hòa MAGA cực đoan cũng nói lên điều gì đó
      Dù vậy, tôi đồng ý 100% rằng 1) không nên phụ thuộc vào nhân sự hỗ trợ mang quốc tịch nước ngoài để hỗ trợ hạ tầng trọng yếu của chính phủ Mỹ, và 2) mọi công ty công nghệ lớn, bao gồm cả các hyperscaler, để kinh doanh ở Trung Quốc đều phải giao dịch với khu vực quyền lực của chính phủ Trung Quốc thông qua các doanh nghiệp đại diện trong nước như Tencent, Alicloud
      Việc giám sát các hợp đồng như vậy, cũng như các điều kiện cho phép nhân sự phía Trung Quốc truy cập trực tiếp vào stack phần cứng/phần mềm, là chưa đủ
  • Tại sao họ lại công khai thừa nhận chuyện này?

    • Vì việc họ giấu báo cáo trong một công cụ mà hầu hết đội bảo mật không truy cập được đã bị phát hiện
    • Có thể họ đang đặt nền trước để khi phải thừa nhận một tác nhân nước ngoài đã xóa log, chuyện đó sẽ không trông như tin quá lớn
      Đây là cách MSFT thường dùng khi xử lý những việc kiểu này
  • Azure không ổn
    Đặc biệt Batch Service có bộ lập lịch công việc hoàn toàn không chính xác

  • Ngay cả những nơi có hạ tầng tệ nhất và thực hành vận hành khủng khiếp nhất mà tôi từng thấy cũng có các cơ chế tinh vi để khiến chuyện như thế này gần như không thể xảy ra
    Vì nếu xảy ra thì thật sự rất nghiêm trọng
    Ngay cả trước vụ này, có lẽ tôi cũng đã không muốn đặt doanh nghiệp của mình lên hạ tầng cloud được quản lý của Azure
    Tôi cố làm một thí nghiệm tư duy xem chuyện như thế này có thể xảy ra mà không có lỗi chí mạng của toàn hệ thống bằng cách nào, nhưng thật khó hình dung

  • Trước đây ở đây có những bình luận nói msft thân thiện với doanh nghiệp hơn Google
    Lý do là họ không làm mất dữ liệu, nhưng msft nằm ở phía đối lập với độ tin cậy

  • Có mùi che đậy
    Trông như kiểu “Lỗ hổng trên nền tảng của chúng ta đã lộ trong syslog của khách hàng!” “Nhanh lên mọi người, hãy làm mất log để câu thêm thời gian”