Microsoft, müşteri bulut ürünlerine ait haftalarca güvenlik günlüğünü kaybettiğini duyurdu
(techcrunch.com)- Bazı Microsoft bulut müşterileri 2 haftadan uzun güvenlik günlüğü boşluğu yaşadı; bu nedenle sızma tespiti ve olay sonrası analiz için gerekli verileri kaybetmiş olabilirler
- 2 Eylül’den 19 Eylül’e kadar dahili izleme ajanındaki bir hata, bazı günlüklerin yüklenmesini engelledi ve dahili günlükleme platformunda veri kalmadı
- Microsoft, nedenin bir güvenlik olayı değil, operasyonel bir hata olduğunu ve etkinin “günlük olayı toplama” ile sınırlı kaldığını açıkladı
- Etkilenen ürünler arasında Microsoft Entra, Sentinel, Defender for Cloud, Purview yer alıyor; müşterilerin veri analizi, tehdit tespiti ve güvenlik uyarısı üretme süreçlerinde boşluk oluşmuş olabilir
- Microsoft’un 2023’te Çin bağlantılı sızma olayının ardından düşük tarifelere de günlük erişimini genişleteceğini söylemiş olması nedeniyle, bulut güvenliği günlüklerinin erişilebilirliği ve saklama güvenilirliği yeniden tartışma konusu oldu
Microsoft bulut güvenliği günlüklerinde eksiklik
- Microsoft, bazı bulut ürünü müşterilerine 2 haftadan uzun güvenlik günlüğünün eksik olduğunu bildirdi
- Eksik dönem 2 Eylül’den 19 Eylül’e kadar
- Müşteri bildiriminde, Microsoft’un dahili izleme ajanlarının bir kısmının günlük verilerini dahili günlükleme platformuna yükleme sürecinde hatalı çalıştığı belirtildi
- Söz konusu günlükleme kesintisi bir güvenlik olayından kaynaklanmadı; Microsoft etkinin yalnızca “günlük olayı toplama” üzerinde olduğunu açıkladı
- Günlükleme, ürün içindeki olayları izleyen bir işlevdir ve kullanıcı oturum açma bilgileri ile başarısız denemeler gibi verileri içerebilir
- Günlükler olmadığında, ilgili dönemde müşteri ağına yönelik yetkisiz erişimi belirlemek daha zor hale gelebilir
- Business Insider, Ekim başında günlük verisi kaybını ilk haberleştiren kuruluş oldu
- Güvenlik araştırmacısı Kevin Beaumont, Microsoft’un etkilenen şirketlere gönderdiği bildirimin büyük olasılıkla yalnızca tenant yönetici yetkisine sahip az sayıda kullanıcı tarafından görülebileceğini düşünüyor
Etkilenen ürünler ve müşteri etkisi
- Etkilenen ürünler arasında Microsoft Entra, Sentinel, Defender for Cloud, Purview bulunuyor
- Müşteri bildirimi, güvenlikle ilgili günlüklerde veya olaylarda olası boşluklar oluşmuş olabileceğini belirtiyor
- Bu boşluk, veri analizi, tehdit tespiti ve güvenlik uyarısı üretme becerisini etkilemiş olabilir
- Microsoft, günlükleme kesintisine ilişkin spesifik soruları yanıtlamadı; ancak corporate vice president John Sheehan nedeni “dahili izleme ajanındaki operasyonel hata” olarak doğruladı
- Microsoft, sorunu hafifletmek için hizmet değişikliğini geri aldı
- Etkilenen tüm müşterileri bilgilendirdiğini ve gerekli desteği sağlayacağını söyledi
2023’teki Çin bağlantılı sızmadan sonra günlük sorunu yeniden gündemde
- Bu kesinti, Microsoft’un 2023’te ABD federal müfettişleri tarafından bazı ABD federal hükümet birimlerine güvenlik günlükleri sağlamadığı için eleştirilmesinden 1 yıl sonra yaşandı
- O dönem müfettişler, bu günlüklere erişilebilseydi Çin bağlantılı sızmanın çok daha hızlı tespit edilebileceğini değerlendirmişti
- Çin bağlantılı saldırgan Storm-0558, Microsoft ağına sızarak dijital bir “skeleton key” çaldı
- Bu anahtarla Microsoft bulutunda saklanan ABD hükümeti e-postalarına sınırsız erişim sağlanabiliyordu
- Hükümetin siber saldırı sonrası analizine göre State Department, daha yüksek seviyeli bir Microsoft lisansı satın alıp bulut ürünlerinin güvenlik günlüklerine erişebildiği için sızmayı tespit etti
- Saldırıdan etkilenen diğer birçok ABD hükümet kurumu aynı günlük erişim yetkisine sahip değildi
- Çin bağlantılı saldırının ardından Microsoft, Eylül 2023’ten itibaren düşük tarifeli bulut hesaplarına da günlük sağlayacağını açıkladı
1 yorum
Hacker News yorumları
Gerçekçi bir üretim ortamında Azure kullanıyorsanız bence sorumluluk sizde.
100 bin dolar değerinde ücretsiz kredi verseler bile beni bir aydan fazla kullanmaya ikna edemezlerdi.
Pahalı, arayüzü son derece kullanıcı düşmanı ve en önemlisi bu tür olaylar yüzünden ürünleri, üretim yükleri için güvenilir görünecek kadar sağlam durmuyor.
Her şey tutarsız ve yamalı bohça gibi birbirine eklenmiş hissettiriyor; birinin bunu düzgün biçimde güvenlik denetiminden geçirebileceğine inanmak zor.
En rahatsız edici kısım oturum açma: saçma sapan çok sayıda yönlendirme ve hata var, tasarlandığı gibi çalıştığını söylemek zor.
Örneğin BAA’yı indirmeye çalıştığımda güvenilir web sitesinde bir oturum açma döngüsüne girdim, ama aynı tarayıcıda Azure konsolunu sorunsuz görebiliyordum.
Yeni oturum açmanın işe yarayıp yaramayacağını görmek için Azure hesabımdan çıktım; sonraki girişte iki faktörlü kimlik doğrulama çıkmadı.
Tarayıcı penceresinde açıkça oturumu kapattıysam, o cihaza yönelik güveni geri çekmişim demektir; bu yüzden iki faktörlü kimlik doğrulamanın tetiklenmemesi bence büyük bir uyarı işareti.
Sonuçta BAA’yı da alamadım, destek kaydı da açamadım; ama tuhaf biçimde bir iş arkadaşım normal şekilde indirebildi.
O noktada durup biraz düşünmek gerekir.
En başta güvenilir bir sistem istediğiniz için Linux’u seçmemiş miydiniz?
Yaptıkları son “iyi” ürün SQL Server/Exchange/Windows 2000’di; o da çok uzun zaman önceydi.
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
Neredeyse her ekibin VM’lerde çalışan uygulamasında gerçek bir hata vardı; bu uygulama da uygulama günlüklerini depolamaya iten bir yapıdaydı.
Bizim ekip de günlüklerin tekrar akması için süreci yeniden başlatmak zorunda kaldı.
Bu bir sev 0 olayıydı ve normalde arka planda sessizce çalışan ajanı çok sayıda ekibin elle yeniden başlatması gerektiği için kolayca düzeltilemeyecek bir hataydı.
Yakın zamandaki küresel ClownStrike kesintisi, dağıtımdan önce test eksikliğini gösterdi; bu Microsoft sorunu ise aynı şeyin Windows’un kök tarafında da yaşandığını gösteriyor.
Hoş bir görüntü değil.
Etkilenen ürünler arasında Microsoft Entra, Sentinel, Defender for Cloud ve Purview’un yer alması can yakıcı.
Entra’nın, yani eski Azure Active Directory’nin etkilenmiş olması oldukça ciddi.
Yine de SSO günlüklerine kimin ihtiyacı var ki?
Bilmemek mutluluktur.
Ayrıca Entra yazısını görünce Encarta sandım ve hâlâ var sanıp bir an heyecanlandım.
Azure Active Directory de harika bir isim değildi ama her şeyi sürekli yeniden markalamak çok yorucu.
Neyse ki üretim sistemleri Entra’ya entegre değil; sadece müşterilerle ilgisi olmayan şeyler bağlı.
Bunun hangi istihbarat operasyonunu desteklemiş olabileceğini merak ediyorum.
Bir aydan biraz fazla süre önce çıkan şu uzun yazıyı da unutmamak gerek.
Microsoft’un denizaşırı siber güvenlikte başarısız olduğunu ve bunu kasıtlı olarak ihmal etmiş gibi görünen durumları özetleyen bir yazı.
https://www.lawenforcementtoday.com/bombshell-allegations-th...
Öte yandan Schiller tamamen güvenilir bir tanık gibi görünmüyor; devlet denetimi talep ettiği kişilerin de aşırı MAGA Cumhuriyetçi vekillerle sınırlı görünmesi bir şeyler ima ediyor.
Yine de şu iki noktaya %100 katılıyorum: 1) kritik ABD kamu altyapısının desteği için yabancı uyruklu destek personeline bağımlı olunmamalı; 2) hiper ölçekleyiciler dahil tüm büyük teknoloji şirketleri, Çin’de iş yapabilmek için Tencent, Alicloud gibi yerel aracı işletmeler üzerinden Çin hükümeti alanı ile anlaşmalar yapıyor.
Bu sözleşmeler ve Çin tarafındaki personelin donanım-yazılım yığınına doğrudan erişebilmesini sağlayan şartlar üzerinde yeterli denetim yok.
Bunu neden açıkça kabul ettiler ki?
MSFT’nin böyle işleri ele alırken sık kullandığı yöntem bu.
Azure pek iyi değil.
Özellikle Batch Service’te iş zamanlayıcısı hiç doğru çalışmıyor.
Şimdiye kadar gördüğüm en kötü altyapıya ve berbat operasyon pratiklerine sahip yerler bile böyle bir şeyi fiilen imkânsız kılacak gelişmiş önlemler almıştı.
Çünkü böyle bir şey olursa gerçekten çok ciddi olur.
Bu olaydan önce bile işimi Azure yönetilen bulut altyapısı üzerine kurmak isteyeceğimi sanmıyorum.
Böyle bir şeyin tüm sistemde kritik bir hata olmadan nasıl mümkün olabileceğine dair düşünce deneyi yapmaya çalışsam da pek gözümde canlandıramıyorum.
Burada msft’nin Google’dan daha kurumsal dostu olduğunu söyleyen yorumlar vardı.
Gerekçe verileri kaybetmemesiydi; oysa msft güvenilirliğin tam karşı tarafında.
Bir örtbas kokusu var.
“Platformumuzdaki açık müşteri syslog’unda göründü!” “Çabuk herkes, günlükleri kaybedip biraz daha zaman kazanalım” gibi görünüyor.