Microsoft informa que ha perdido semanas de registros de seguridad de los productos en la nube de sus clientes.
La falta de registros podría complicar la identificación de accesos no autorizados a las redes de los clientes durante ese periodo de dos semanas.
Microsoft ha informado a sus clientes que no cuenta con más de dos semanas de registros de seguridad para algunos de sus productos en la nube, lo cual ha dejado a los defensores de redes sin datos cruciales para detectar posibles intrusiones. En una notificación emitida a los clientes afectados, la compañía explicó que “un error en uno de los agentes de monitoreo internos de Microsoft provocó un malfuncionamiento en algunos de los agentes al cargar los datos de registro en nuestra plataforma interna” entre el 2 de septiembre y el 19 de septiembre. La empresa añadió que la interrupción en el registro no fue resultado de un incidente de seguridad y que “solo afectó la recopilación de eventos de registro”.
El medio Business Insider fue el primero en reportar la pérdida de estos datos de registro a principios de octubre, aunque los detalles de la notificación no han sido ampliamente divulgados. Según el investigador de seguridad Kevin Beaumont, las notificaciones enviadas por Microsoft a las empresas afectadas probablemente solo son accesibles para un número limitado de usuarios con derechos de administrador del inquilino. Los registros son esenciales para rastrear eventos dentro de un producto, proporcionando información sobre los usuarios que inician sesión y los intentos fallidos, lo que ayuda a los defensores de la red a identificar posibles intrusiones. La falta de registros podría complicar la identificación de accesos no autorizados a las redes de los clientes durante ese periodo de dos semanas.
Los productos afectados incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview. La notificación informa que los clientes “pueden haber experimentado posibles brechas en los registros o eventos relacionados con la seguridad, lo que podría haber afectado la capacidad de los clientes para analizar datos, detectar amenazas o generar alertas de seguridad”. Microsoft no respondió a preguntas específicas sobre la interrupción del registro; sin embargo, un ejecutivo de la compañía confirmó a TechCrunch que el incidente fue causado por un “error operativo dentro de nuestro agente de monitoreo interno”.
John Sheehan, vicepresidente corporativo de Microsoft, expresó que “hemos mitigado el problema retrocediendo un cambio en el servicio. Nos hemos comunicado con todos los clientes afectados y proporcionaremos apoyo según sea necesario”. Esta interrupción en el registro ocurre un año después de que Microsoft enfrentara críticas por parte de investigadores federales debido a la retención de registros de seguridad de ciertos departamentos del gobierno federal de EE. UU. que alojan sus correos electrónicos en la nube exclusiva y segura de la compañía. Los investigadores argumentaron que el acceso a esos registros podría haber permitido identificar una serie de intrusiones respaldadas por China mucho más rápido. Estos intrusos, denominados Storm-0558, lograron acceder a la red de Microsoft y robar una llave digital que les dio acceso sin restricciones a los correos electrónicos del gobierno de EE. UU. almacenados en la nube de Microsoft. Según un informe emitido por el gobierno sobre el ciberataque, el Departamento de Estado identificó las intrusiones porque pagó por una licencia de Microsoft de nivel superior que le otorgó acceso a los registros de seguridad para sus productos en la nube, algo que muchas otras agencias gubernamentales afectadas no tenían. Tras los ataques respaldados por China, Microsoft anunció que comenzaría a proporcionar registros a cuentas de nube con pagos inferiores desde septiembre de 2023.