Um bug nos serviços em nuvem da Microsoft causou a perda de logs de segurança durante semanas, expondo potencialmente as redes dos clientes a ameaças invisíveis. As empresas que utilizam Entra, Sentinel e outros serviços da Microsoft perderam acesso a dados críticos, interrompendo a sua capacidade de monitorizar acessos não autorizados ou potenciais violações durante o período afetado, do início de setembro a meados de setembro.
Dados ausentes impactam os principais serviços
Entre 2 e 19 de setembro de 2024, uma falha de registro resultou em logs de segurança incompletos para vários produtos importantes da Microsoft. O problema foi causado por um mau funcionamento nos agentes de monitoramento interno da Microsoft, que não conseguiram carregar os dados de log nos servidores da empresa. Os clientes afetados foram notificados de que seus registros poderiam estar incompletos ou indisponíveis, prejudicando sua capacidade de rastrear atividades incomuns em suas redes.
Os agentes de monitoramento interno da Microsoft são componentes de software program que coletam dados sobre o desempenho e a integridade de vários sistemas na infraestrutura da Microsoft. Eles reúnem informações sobre uso de {hardware}, desempenho de software program, tráfego de rede e outras métricas relevantes. Os dados são então enviados para sistemas centrais de monitoramento, onde são analisados para identificar possíveis problemas e otimizar o desempenho do sistema.
Vários serviços importantes da Microsoft foram atingidos, incluindo o Entra, que apresentou registros de login incompletos e lacunas nos dados de atividades. Os usuários do Microsoft Sentinel também enfrentaram problemas com alertas de segurança ausentes, tornando mais difícil detectar comportamentos suspeitos durante a interrupção. A Microsoft relatou que lacunas nos logs do Azure Monitor e do Energy Platform podem ter interrompido as exportações e análises de dados.
Problema técnico: o bug do deadlock
O problema decorre de um bug introduzido enquanto a Microsoft corrigia um problema não relacionado em seu sistema de coleta de logs. A correção da Microsoft acidentalmente desencadeou um “deadlock” no envio de telemetria do sistema, impedindo alguns agentes de monitoramento de enviar logs.
Embora os agentes continuassem a recolher dados, não conseguiam enviá-los de volta aos servidores da Microsoft e, em alguns casos, os dados de registo mais antigos eram substituídos antes dos agentes serem reiniciados, impossibilitando a recuperação das informações perdidas. A empresa já corrigiu o bug e garantiu aos clientes que o problema foi resolvido.
Embora a Microsoft tenha detectado o bug em 5 de setembro, o problema não foi totalmente resolvido até 3 de outubro. Correções temporárias, como reiniciar os agentes de monitoramento afetados, foram lançadas a partir de meados de setembro, melhorando a coleta de logs para alguns serviços. No entanto, a recuperação completa demorou quase um mês, durante o qual alguns clientes continuaram a ter registos atrasados ou incompletos.
Durante a recuperação, a Microsoft aplicou uma série de patches para evitar que o bug afetasse outras regiões e serviços. No last de setembro, eles restauraram a maior parte das funcionalidades, mas continuaram monitorando os sistemas para garantir que o problema não se repetiria.
Preocupações de longo prazo para as empresas
Esta não é a primeira vez que as práticas de registro da Microsoft são criticadas. No ano passado, hackers apoiados pela China infiltraram-se nos sistemas em nuvem da Microsoft usando credenciais roubadas, obtendo acesso a e-mails do governo.
A violação passou despercebida por mais tempo do que deveria, já que apenas os clientes de nível premium tinham acesso aos recursos avançados de registro que poderiam ter detectado a intrusão mais cedo. Após esse incidente, a Microsoft expandiu o acesso a registos avançados em 2024, permitindo que mais clientes monitorizem os seus sistemas de forma eficaz.
A última interrupção da Microsoft levantou preocupações entre os profissionais de segurança cibernética sobre a confiabilidade dos serviços de registro baseados em nuvem, que são essenciais para detectar e responder a incidentes de segurança. Com a falta de registos, as empresas ficam cegas a potenciais ataques que poderiam ter ocorrido durante o período em que os dados não estavam a ser recolhidos.
