Recientemente, Microsoft ha notificado a sus clientes que faltan más de 2 semanas de registros (logs) de seguridad de algunos de sus productos en la nube, lo que, para ser precisos, deja a los defensores de la red sin datos críticos para poder detectar posibles intrusiones o intromisiones. Microsoft pierde semanas de información de logs de seguridad y aquí en TECHcetera le comentaremos todos los detalles.
Faltan más de 2 semanas de registros (logs) de seguridad
Según una notificación enviada a los clientes afectados, Microsoft indicó que “un error en uno de los agentes de monitoreo interno de Microsoft resultó en un mal funcionamiento de algunos de los agentes al cargar datos de registro en nuestra plataforma de registro interna entre el 2 y el 19 de septiembre”.
La notificación explicaba ciertos aspectos, entre ellos, que la interrupción del registro no fue causada por un incidente de seguridad y que “ únicamente afectó la recopilación de eventos de registro”.
Por si no lo sabía, Business Insider fue el primero en informar sobre la pérdida de datos de registro a principios del mes de octubre. Lo cierto es que, hasta el momento, los detalles de la notificación no se han divulgado ampliamente. Como señaló el investigador de seguridad, Kevin Beaumont, las notificaciones que Microsoft envió a las compañías afectadas, posiblemente solo sean accesibles para un conjunto de usuarios con derechos de administrador de inquilinos.
Es crucial recalcar que los registros ayudan a llevar a cabo un seguimiento de los eventos dentro de un producto, como por ejemplo; la información sobre los usuarios que inician sesión y así mismo, los intentos fallidos, lo que tiene la capacidad de poder ayudar a los defensores de la red a identificar intromisiones sospechosas. Es de resaltar que la falta de registros podría dificultar la identificación de accesos no autorizados a las redes de los clientes durante ese período de 2 semanas.
Ahora bien, según el informe de Business Insider, los productos afectados incluyen algunos como; Microsoft Entra, Sentinel, así como Defender for Cloud y Purview.
Según la notificación, los clientes afectados “pueden haber experimentado posibles lagunas en los registros o eventos relacionados con la seguridad, lo que posiblemente afecte la capacidad de los clientes para analizar datos, detectar amenazas o generar alertas de seguridad”.
Microsoft no respondió preguntas concretas sobre la interrupción del registro, sin embargo, un ejecutivo de Microsoft corroboró que el incidente fue causado por un error operativo dentro del agente de monitoreo interno.
“Hemos mitigado el problema revirtiendo un cambio en el servicio. Nos hemos comunicado con todos los clientes afectados y les brindaremos soporte según sea necesario”, afirmó John Sheehan, vicepresidente corporativo de Microsoft.
