Microsoft công bố làm mất nhiều tuần nhật ký bảo mật của các sản phẩm đám mây khách hàng
(techcrunch.com)- Một số khách hàng đám mây của Microsoft đã gặp khoảng trống nhật ký bảo mật hơn 2 tuần, có thể đã mất dữ liệu cần thiết cho phát hiện xâm nhập và phân tích sau sự cố
- Từ ngày 2/9 đến 19/9, lỗi ở tác nhân giám sát nội bộ đã cản trở việc tải lên một số nhật ký, khiến dữ liệu không được lưu lại trên nền tảng ghi log nội bộ
- Microsoft cho biết nguyên nhân là lỗi vận hành chứ không phải sự cố bảo mật, và phạm vi ảnh hưởng chỉ giới hạn ở “thu thập sự kiện nhật ký”
- Các sản phẩm bị ảnh hưởng gồm Microsoft Entra, Sentinel, Defender for Cloud, Purview, và có thể đã tạo ra khoảng trống trong việc phân tích dữ liệu, phát hiện mối đe dọa và tạo cảnh báo bảo mật của khách hàng
- Sau vụ xâm nhập có liên hệ với Trung Quốc năm 2023, khi Microsoft đã nói sẽ mở rộng cung cấp nhật ký cả cho các gói giá thấp hơn, vấn đề khả năng truy cập và độ tin cậy lưu giữ của nhật ký bảo mật đám mây lại một lần nữa trở thành tâm điểm
Thiếu hụt nhật ký bảo mật đám mây của Microsoft
- Microsoft đã thông báo cho một số khách hàng sản phẩm đám mây rằng nhật ký bảo mật hơn 2 tuần đã bị thiếu
- Thời gian bị thiếu là từ ngày 2/9 đến 19/9
- Thông báo gửi khách hàng cho biết một phần tác nhân giám sát nội bộ của Microsoft đã hoạt động sai trong quá trình tải dữ liệu nhật ký lên nền tảng ghi log nội bộ
- Sự cố ghi log này không phải do sự cố bảo mật gây ra, và Microsoft giải thích rằng ảnh hưởng chỉ xảy ra với “thu thập sự kiện nhật ký”
- Ghi log là chức năng theo dõi các sự kiện trong sản phẩm, có thể bao gồm dữ liệu như thông tin đăng nhập người dùng và các lần thử thất bại
- Nếu không có nhật ký, việc xác định truy cập trái phép vào mạng của khách hàng trong giai đoạn đó có thể trở nên khó khăn hơn
- Business Insider là đơn vị đầu tiên đưa tin về việc mất dữ liệu nhật ký vào đầu tháng 10
- Nhà nghiên cứu bảo mật Kevin Beaumont cho rằng thông báo Microsoft gửi đến các doanh nghiệp bị ảnh hưởng nhiều khả năng chỉ hiển thị với một số ít người dùng có quyền quản trị tenant
Sản phẩm bị ảnh hưởng và tác động với khách hàng
- Các sản phẩm bị ảnh hưởng gồm Microsoft Entra, Sentinel, Defender for Cloud, Purview
- Thông báo gửi khách hàng cho biết có thể đã xuất hiện khoảng trống tiềm tàng trong các nhật ký hoặc sự kiện liên quan đến bảo mật
- Khoảng trống này có thể đã ảnh hưởng đến khả năng phân tích dữ liệu, phát hiện mối đe dọa và tạo cảnh báo bảo mật
- Microsoft không trả lời các câu hỏi cụ thể về sự cố ghi log, nhưng phó chủ tịch doanh nghiệp John Sheehan xác nhận nguyên nhân là “lỗi vận hành trong tác nhân giám sát nội bộ”
- Microsoft đã rollback thay đổi dịch vụ để giảm nhẹ vấn đề
- Công ty cho biết đã thông báo cho tất cả khách hàng bị ảnh hưởng và sẽ cung cấp hỗ trợ cần thiết
Vấn đề nhật ký lại bùng lên sau vụ xâm nhập liên quan đến Trung Quốc năm 2023
- Sự cố lần này xảy ra một năm sau khi Microsoft bị các nhà điều tra liên bang Mỹ chỉ trích vào năm 2023 vì không cung cấp nhật ký bảo mật cho một số cơ quan thuộc chính phủ liên bang Mỹ
- Khi đó, các nhà điều tra cho rằng nếu có thể truy cập các nhật ký đó, họ đã có thể xác định vụ xâm nhập liên quan đến Trung Quốc sớm hơn nhiều
- Nhóm xâm nhập có liên hệ với Trung Quốc Storm-0558 đã đột nhập vào mạng Microsoft và đánh cắp một “skeleton key” kỹ thuật số
- Với khóa này, họ có thể truy cập không hạn chế vào email của chính phủ Mỹ được lưu trên đám mây Microsoft
- Theo phân tích sau sự cố tấn công mạng của chính phủ, State Department đã phát hiện vụ xâm nhập vì đã mua giấy phép Microsoft ở cấp cao hơn để truy cập nhật ký bảo mật của sản phẩm đám mây
- Nhiều cơ quan chính phủ Mỹ khác bị ảnh hưởng bởi vụ hack không có cùng quyền truy cập nhật ký đó
- Sau vụ hack có liên hệ với Trung Quốc, Microsoft cho biết từ tháng 9/2023 sẽ cung cấp nhật ký cả cho các tài khoản đám mây gói giá thấp hơn
1 bình luận
Ý kiến trên Hacker News
Nếu dùng Azure trong một môi trường production thực tế thì tôi nghĩ trách nhiệm là ở bạn
Kể cả họ cho 100.000 USD tín dụng miễn phí, chắc cũng không thuyết phục được tôi dùng quá một tháng
Nó đắt, giao diện cực kỳ thiếu thân thiện, và trên hết, vì những chuyện như thế này mà các sản phẩm của họ trông không đủ đáng tin để giao tải production
Tổng thể thiếu nhất quán và có cảm giác chắp vá, nên khó tin là ai đó có thể audit bảo mật cho ra hồn
Phần khó chịu nhất là đăng nhập: redirect và lỗi nhiều đến vô lý, khó mà nói là nó hoạt động đúng như dự định
Ví dụ tôi cố tải BAA xuống thì bị kẹt trong vòng lặp đăng nhập trên trang web tin cậy, nhưng cũng trên cùng trình duyệt đó tôi vẫn xem được Azure console bình thường
Tôi đăng xuất khỏi tài khoản Azure để xem đăng nhập mới có giúp gì không, nhưng lần đăng nhập tiếp theo lại không hiện xác thực 2 bước
Nếu tôi đã đăng xuất rõ ràng trong cửa sổ trình duyệt thì tức là đã thu hồi sự tin cậy đối với thiết bị đó, nên việc xác thực 2 bước không được kích hoạt là một dấu hiệu cảnh báo lớn
Cuối cùng tôi không tải được BAA và cũng không mở được ticket, nhưng kỳ lạ là đồng nghiệp của tôi lại tải xuống bình thường
Đến mức đó thì nên dừng lại một chút mà suy nghĩ
Chẳng phải ngay từ đầu họ chọn Linux vì muốn có một hệ thống đáng tin cậy sao?
Sản phẩm “tốt” cuối cùng họ làm ra là SQL Server/Exchange/Windows 2000, và đó là chuyện từ rất lâu rồi
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
Gần như mọi đội đều có lỗi thật trong ứng dụng chạy trên VM, và ứng dụng đó có cấu trúc đẩy log ứng dụng vào kho lưu trữ
Đội chúng tôi cũng phải khởi động lại process để log chảy trở lại
Đây là một sự cố sev 0, và là một sai lầm không dễ sửa vì rất nhiều đội phải khởi động lại thủ công những agent vốn bình thường chạy lặng lẽ ở nền
Sự cố toàn cầu ClownStrike gần đây cho thấy thiếu kiểm thử trước khi triển khai, còn vấn đề Microsoft lần này cho thấy chuyện đó cũng đang xảy ra ở phần gốc của Windows
Trông chẳng đẹp đẽ gì
Điều đau ở đây là các sản phẩm bị ảnh hưởng gồm Microsoft Entra, Sentinel, Defender for Cloud, Purview
Entra, tức Azure Active Directory trước đây, bị ảnh hưởng thì khá nghiêm trọng
Nhưng dù sao ai mà cần log SSO chứ?
Không biết thì đỡ lo
Nhân tiện, thấy chữ Entra tôi tưởng là Encarta và đã hơi phấn khích một lúc vì tưởng nó vẫn còn tồn tại
Azure Active Directory cũng không phải cái tên xuất sắc, nhưng cứ liên tục rebrand mọi thứ thì quá mệt mỏi
May là hệ thống production không tích hợp với Entra, chỉ những thứ không liên quan đến khách hàng mới được kết nối
Tò mò không biết chuyện này đã hỗ trợ chiến dịch của cơ quan tình báo nào
Cũng đừng quên bài viết dài này mới xuất hiện hơn một tháng trước
Bài này tổng hợp các tình tiết cho thấy Microsoft thất bại trong an ninh mạng ở nước ngoài, và dường như cố tình làm ngơ
https://www.lawenforcementtoday.com/bombshell-allegations-th...
Mặt khác, Schiller trông không hẳn là một nhân chứng hoàn toàn đáng tin, và việc đối tượng mà ông ta kêu gọi chính phủ giám sát dường như chỉ giới hạn ở các nghị sĩ Cộng hòa MAGA cực đoan cũng nói lên điều gì đó
Dù vậy, tôi đồng ý 100% rằng 1) không nên phụ thuộc vào nhân sự hỗ trợ mang quốc tịch nước ngoài để hỗ trợ hạ tầng trọng yếu của chính phủ Mỹ, và 2) mọi công ty công nghệ lớn, bao gồm cả các hyperscaler, để kinh doanh ở Trung Quốc đều phải giao dịch với khu vực quyền lực của chính phủ Trung Quốc thông qua các doanh nghiệp đại diện trong nước như Tencent, Alicloud
Việc giám sát các hợp đồng như vậy, cũng như các điều kiện cho phép nhân sự phía Trung Quốc truy cập trực tiếp vào stack phần cứng/phần mềm, là chưa đủ
Tại sao họ lại công khai thừa nhận chuyện này?
Đây là cách MSFT thường dùng khi xử lý những việc kiểu này
Azure không ổn
Đặc biệt Batch Service có bộ lập lịch công việc hoàn toàn không chính xác
Ngay cả những nơi có hạ tầng tệ nhất và thực hành vận hành khủng khiếp nhất mà tôi từng thấy cũng có các cơ chế tinh vi để khiến chuyện như thế này gần như không thể xảy ra
Vì nếu xảy ra thì thật sự rất nghiêm trọng
Ngay cả trước vụ này, có lẽ tôi cũng đã không muốn đặt doanh nghiệp của mình lên hạ tầng cloud được quản lý của Azure
Tôi cố làm một thí nghiệm tư duy xem chuyện như thế này có thể xảy ra mà không có lỗi chí mạng của toàn hệ thống bằng cách nào, nhưng thật khó hình dung
Trước đây ở đây có những bình luận nói msft thân thiện với doanh nghiệp hơn Google
Lý do là họ không làm mất dữ liệu, nhưng msft nằm ở phía đối lập với độ tin cậy
Có mùi che đậy
Trông như kiểu “Lỗ hổng trên nền tảng của chúng ta đã lộ trong syslog của khách hàng!” “Nhanh lên mọi người, hãy làm mất log để câu thêm thời gian”