Microsoft ने घोषणा की कि उसके ग्राहकों के cloud products के security logs कई हफ्तों तक खो गए
(techcrunch.com)- कुछ Microsoft cloud customers को 2 हफ्तों से अधिक के security logs में खालीपन झेलना पड़ा, जिससे intrusion detection और बाद की analysis के लिए ज़रूरी data खो गया हो सकता है
- 2 सितंबर से 19 सितंबर तक internal monitoring agent में एक bug ने कुछ logs के upload को रोक दिया, जिससे internal logging platform में data दर्ज नहीं हुआ
- Microsoft ने कहा कि कारण security incident नहीं बल्कि operational bug था, और असर की सीमा “log event collection” तक ही रही
- प्रभावित products में Microsoft Entra, Sentinel, Defender for Cloud, Purview शामिल हैं, और customers के data analysis, threat detection और security alert generation में खालीपन आया हो सकता है
- 2023 के China-linked intrusion incident के बाद Microsoft ने lower-tier plans में भी logs उपलब्ध कराने का वादा किया था, इसलिए cloud security logs की accessibility और retention reliability फिर से बहस का मुद्दा बन गई है
Microsoft cloud security logs का गायब होना
- Microsoft ने कुछ cloud product customers को सूचित किया कि 2 हफ्तों से अधिक के security logs गायब हो गए
- गायब होने की अवधि 2 सितंबर से 19 सितंबर तक थी
- customer notification में लिखा था कि Microsoft के कुछ internal monitoring agents ने log data को internal logging platform पर upload करते समय malfunction किया
- यह logging failure security incident की वजह से नहीं था, और Microsoft ने बताया कि असर केवल “log event collection” पर पड़ा
- logging, product के भीतर events को track करने की सुविधा है, जिसमें user login information और failed attempts जैसे data शामिल हो सकते हैं
- logs न होने पर उस अवधि में customer network पर unauthorized access की पहचान करना अधिक कठिन हो सकता है
- Business Insider ने अक्टूबर की शुरुआत में log data loss की खबर पहले दी थी
- security researcher Kevin Beaumont का मानना है कि Microsoft ने प्रभावित कंपनियों को जो notification भेजी, वह संभवतः केवल tenant admin privileges वाले कुछ ही users को दिखाई देगी
प्रभावित products और customers पर असर
- प्रभावित products में Microsoft Entra, Sentinel, Defender for Cloud, Purview शामिल हैं
- customer notification में कहा गया कि security-related logs या events में संभावित खालीपन आया हो सकता है
- इस खालीपन का असर data analysis, threat detection और security alert generation की क्षमता पर पड़ा हो सकता है
- Microsoft ने logging failure पर specific सवालों का जवाब नहीं दिया, लेकिन corporate vice president John Sheehan ने कारण को “internal monitoring agent का operational bug” बताया
- Microsoft ने service change को rollback करके समस्या को कम किया
- कंपनी ने कहा कि उसने सभी प्रभावित customers को सूचित कर दिया है और ज़रूरी support देगी
2023 के China-linked intrusion के बाद फिर उभरा log issue
- यह outage उस घटना के एक साल बाद हुआ है जब 2023 में Microsoft को अमेरिकी federal investigators ने इस बात के लिए आलोचना की थी कि उसने कुछ U.S. federal agencies को security logs उपलब्ध नहीं कराए
- उस समय investigators का मानना था कि अगर उन logs तक access होता, तो China-linked intrusion की पहचान बहुत पहले की जा सकती थी
- China-linked intruder Storm-0558 ने Microsoft network में घुसपैठ कर एक digital “skeleton key” चुरा ली थी
- इस key से Microsoft cloud में stored U.S. government emails तक बिना रोक-टोक पहुंच संभव थी
- सरकार की cyberattack postmortem analysis के अनुसार, State Department ने intrusion की पहचान इसलिए की क्योंकि उसने higher-tier Microsoft license खरीदा हुआ था, जिससे cloud product security logs तक access मिला
- hacking से प्रभावित कई अन्य U.S. government agencies के पास वही log access permission नहीं थी
- China-linked hacking के बाद Microsoft ने कहा था कि वह सितंबर 2023 से lower-tier cloud accounts को भी logs उपलब्ध कराएगा
1 टिप्पणियां
Hacker News की राय
अगर आप किसी वास्तविक production environment में Azure इस्तेमाल कर रहे हैं, तो मेरी नज़र में ज़िम्मेदारी आपकी ही है
अगर वे 100,000 डॉलर के free credits भी देते, तब भी मुझे एक महीने से ज़्यादा इस्तेमाल करने के लिए मना नहीं पाते
यह महंगा है, interface बेहद user-unfriendly है, और सबसे बढ़कर ऐसी घटनाओं की वजह से इसके products production load के लिए भरोसेमंद नहीं लगते
पूरा सिस्टम असंगत और जैसे-जैसे जोड़कर बनाया गया लगता है, इसलिए यकीन करना मुश्किल है कि कोई इसका ठीक से security audit कर भी सकता है
सबसे परेशान करने वाला हिस्सा login है, redirects और errors हास्यास्पद रूप से बहुत हैं और यह कहना मुश्किल है कि यह intended तरीके से काम कर रहा है
उदाहरण के लिए, मैंने BAA डाउनलोड करने की कोशिश की तो trusted website पर login loop में फंस गया, जबकि उसी browser में Azure console ठीक से दिख रहा था
यह देखने के लिए कि नया login मदद करता है या नहीं, मैंने Azure account से logout किया, लेकिन अगले login पर two-factor authentication आया ही नहीं
अगर मैंने browser window से स्पष्ट रूप से logout किया है, तो उस device पर trust revoke हो जाना चाहिए; इसलिए two-factor authentication trigger न होना मेरे लिए बड़ा warning signal है
आखिरकार BAA भी नहीं मिला और ticket भी नहीं खोल पाया, लेकिन अजीब बात है कि मेरे colleague उसे सामान्य रूप से डाउनलोड कर पाए
उस मोड़ पर रुककर सोचना चाहिए
क्या शुरुआत में Linux इसलिए नहीं चुना था कि भरोसेमंद system चाहिए था?
उन्होंने आखिरी “अच्छा” product SQL Server/Exchange/Windows 2000 बनाया था, और वह बहुत पहले की बात है
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
लगभग हर team के VM पर चल रहे application में असली bug था, और वह app application logs को storage में push करता था
हमारी team को भी logs फिर से flow करवाने के लिए process restart करना पड़ा
यह sev 0 incident था, और यह ऐसी गलती थी जिसे आसानी से ठीक नहीं किया जा सकता था, क्योंकि सामान्यतः background में चुपचाप चलने वाले agent को बहुत-सी teams को manually restart करना पड़ा
हालिया ClownStrike global outage ने deployment से पहले testing की कमी दिखाई, और Microsoft का यह मामला दिखाता है कि वही बात Windows की जड़ों की तरफ भी हो रही है
यह अच्छा दृश्य नहीं है
प्रभावित products में Microsoft Entra, Sentinel, Defender for Cloud, Purview शामिल थे — यह बात चुभती है
Entra, यानी पुराना Azure Active Directory, प्रभावित हुआ — यह काफी गंभीर है
वैसे भी SSO logs की जरूरत किसे है?
अज्ञानता भी कभी-कभी वरदान है
साथ ही, Entra लिखा देखकर मुझे लगा Encarta है, और एक पल को खुशी हुई कि वह अभी भी मौजूद है
Azure Active Directory भी कोई शानदार नाम नहीं था, लेकिन हर चीज़ को बार-बार rebrand करना बहुत थकाऊ है
सौभाग्य से production systems Entra से integrated नहीं हैं, सिर्फ customer से असंबंधित चीजें जुड़ी हैं
सोच रहा हूं यह किस intelligence agency operation को support कर गया होगा
एक महीने से थोड़ा पहले आया यह लंबा लेख भी नहीं भूलना चाहिए
यह Microsoft की foreign cybersecurity में नाकामी और जानबूझकर अनदेखी जैसे हालात का सार देता है
https://www.lawenforcementtoday.com/bombshell-allegations-th...
दूसरी तरफ Schiller पूरी तरह भरोसेमंद witness जैसे नहीं लगते, और यह भी संकेत देता है कि government oversight मांगने के लिए उन्होंने सिर्फ अति MAGA Republican lawmakers को target किया
फिर भी मैं 100% सहमत हूं कि 1) महत्वपूर्ण US government infrastructure को support करने के लिए foreign-national support staff पर निर्भर नहीं होना चाहिए, और 2) hyperscalers सहित सभी बड़ी technology companies चीन में business करने के लिए Tencent, Alicloud जैसी domestic代理 businesses के जरिए Chinese government jurisdiction के साथ deals करती हैं
ऐसे contracts और उन शर्तों पर पर्याप्त oversight नहीं है जिनसे Chinese-side personnel को hardware और software stack तक direct access मिल सकता है
इन्होंने इसे public तौर पर स्वीकार क्यों किया होगा?
MSFT ऐसे मामलों को संभालते समय अक्सर यही तरीका अपनाता है
Azure अच्छा नहीं है
खासकर Batch Service में job scheduler बिल्कुल accurate नहीं है
अब तक मैंने जिन सबसे खराब infrastructure और भयानक operational practices वाली जगहों को देखा है, वहां भी ऐसे sophisticated safeguards लगे थे कि ऐसी घटना practically असंभव हो जाए
क्योंकि ऐसा होना सच में बहुत गंभीर है
इस घटना से पहले भी शायद मैं अपना business Azure managed cloud infrastructure पर नहीं रखना चाहता
यह सोचने की कोशिश भी करूं कि पूरी system की catastrophic failure के बिना यह कैसे possible है, तो भी ठीक से कल्पना नहीं कर पाता
यहां कुछ comments थे कि msft Google से ज़्यादा enterprise-friendly है
वजह बताई गई थी कि वह data नहीं खोता, जबकि msft तो reliability के उलट छोर पर है
cover-up जैसी बू आ रही है
“हमारे platform की vulnerability customer syslog में दिख गई!” “जल्दी, सब लोग, logs खो दो और थोड़ा और समय खरीदो” जैसा लग रहा है