[English]Unschöne Geschichte, die mir gerade untergekommen ist. Bei Microsoft hat es einen Bug gegeben, der bewirkte, dass Log-Dateien von Sicherheitsprodukten in der Microsoft-Cloud nicht zuverlässig gespeichert wurden. Das könnte die Erkennung von Bedrohungen verhindern – was erneut Sicherheitsbedenken hinsichtlich der Zuverlässigkeit von Microsoft als Unternehmen und dessen Cloud-Diensten hervor ruft.
Bug verhindert Logging
Ich auf X über den nachfolgenden Tweet auf das Thema aufmerksam geworden. Benzinga hat das Ganze in diesem Beitrag aufbereitet – der Erstbericht bei Business Insider ist hinter einer Schranke für mich nicht abrufbar.
Protokollierung ist das A und O
Protokolle, die Ereignisse innerhalb eines Programms, wie z. B. die Anmeldung bei einem Konto, dokumentieren, spielen eine entscheidende Rolle bei der Identifizierung von unbefugten Netzwerk- und Kontenzugriffen. Lücken in der Protokollierung führen bei eine Sicherheitsvorfall dazu, dass Zugriffe ggf. nicht mehr nachvollzogen werden können – eine forensische Analyse wird damit unmöglich. Das Fehlen einer ordnungsgemäßen Aufzeichnung könnte zudem dazu führen, dass potenzielle Eindringlinge übersehen werden.
Lücken in der Protokollierung
Der Bericht von Business Insider besagt, dass es bei Microsoft eine technische Panne gab, der die konsistente Erfassung von Protokolldaten für eine Reihe seiner wichtigen Cloud-Dienste verhinderte. Ein Bug in einem internen Überwachungsagenten von Microsoft bewirkte, dass das Hochladen von Protokolldaten auf die Protokollierungsplattform des Unternehmens in der Zeit vom 2. bis 19. September 2024 fehlerhaft war.
Dadurch gingen den Berichten zufolge Protokolldaten von mehreren wichtigen Microsoft Sicherheitsprodukten verloren. Dies beeinträchtig die Fähigkeit der Kunden, Bedrohungen zu erkennen und Sicherheitswarnungen zu generieren.
Zu den betroffenen Produkten gehören Microsoft Entra, Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft Purview. Insbesondere Microsoft Sentinel-Kunden haben möglicherweise Lücken in sicherheitsrelevanten Protokollen oder Ereignissen festgestellt.
Ergänzung: Microsoft hat den Bug wohl im Microsoft 365 Message Center bekannt gegeben – und Joao Ferreira hat das Ganze zum 3. Oktober 2024 hier gespiegelt. Dort lassen sich dann weitere Details nachlesen.
Dieses Problem hatte keine Auswirkungen auf den Betrieb von kundenorientierten Diensten oder Ressourcen, sprich die jeweiligen Dienste waren nicht ausgefallen. Lediglich die Protokollierung streikte. Kunden wird damit die Fähigkeit genommen, Daten über Zugriffe während des genannten Zeitraums zu analysieren, Bedrohungen zu erkennen oder Sicherheitswarnungen zu generieren. Es gibt aber wohl keine Hinweise auf Cyberangriffe, die auf diesen Vorfall zurückzuführen sind.
Wie zuverlässig ist Microsoft noch?
Eine konsistente und genaue Protokolldatenerfassung ist für die Aufrechterhaltung robuster Sicherheitsprotokolle enorm wichtig. Eine Lücke in den Sicherheitsmaßnahmen kann sich sofort auf eine große Anzahl von Kunden weltweit auswirken.
Microsoft hat sich zu diesem Vorfall noch nicht geäußert. Der Verlust von Protokolldaten fällt aber in ein Raster, dass „vieles in Redmond nicht (mehr) klappt“. Dabei hatte Microsoft nach vorherigen Sicherheitsvorfällen, bei denen seine Cloud-Dienste gehackt wurden und die Angreifer über Monate unerkannt im Microsoft-Netzwerk unterwegs waren, eine Security-Initiative ausgerufen. Man wurde nicht müde, zu betonen, dass Sicherheit nun oberste Priorität habe.
Der Vorfall wirft nun erneut Fragen über die Effektivität der internen Qualitätssicherung und der Überwachungssysteme von Microsoft, die solche Fehler eigentlich aufdecken sollten.
Die Reaktion Microsofts auf diesen Vorfall und die Maßnahmen, die zur Verhinderung künftiger Vorfälle ergriffen werden, werden von Kunden und Interessengruppen sicherlich gleichermaßen aufmerksam verfolgt.
Immer mehr mangelnde Verantwortlichkeit, egal in welchem Bereich, in welcher Ebene.
Da kann ich dir nur zustimmen…
Hauptsache das Design wird wieder und wieder geändert und dann als Update verkauft.
Und trotzdem benutzen alle diesen „Dreck“. Es gibt Alternativen.
Kleiner Tipp:
Microsoft sollte vielleicht mal bei der NSA nachfragen, ob die die Dateien vielleicht in Kopie haben. Ich bin mir sicher, dass …
Gäbe es Alternativen, würden viele Leute wechseln.
Linux ist eine Bastelei und für Normal-Sterbliche ohne grosse IT-Kenntnisse kaum zu handhaben.
Da würden dir die mehr als 3 Mrd Android Nutzer vermutlich widersprechen.
Oder:
„schöne Sicherheitslösung haben Sie da, die überwacht ja wirklich alles und protokolliert ja toll! Hey M$ wir sind von den „drei Buchstaben“ und müssen mal eben was machen, bitte schalte die Protokollierung ab, damit das nicht auffällt“
Nicht das es jetzt so war, aber ist auch eine Möglichkeit die in Frage kommt, kann man ja am Ende mit „bedauerlicher Softwarefehler, da kann man nichts machen!“ abtun, dann fragt im Regelfall eh keiner mehr nach. Ist ja nicht so, dass Schadsoftware als erstes versuchen, die Sicherheitstechnik abzuschalten / zu umgehen damit die weiter wirken können.
Aber, wenn man die elendlichen Ladezeiten der Adminpages von Defender & Co. außer acht lässt, sind diese ganz ok, ab und an überladen, aber im ganzen ist das nicht schlecht.
Oder eine entspr. Protokollierung-Abschaltschnittstelle für irgendwelche „drei Buchstaben“ war kurz fehlerhaft und hat „zu viel“ abgeschaltet. Aber alles unvorstellbar für die Fanboys…
Und es gibt immer noch Menschen, die sich das freiwillig und ohne Not antun…
Die Log-Dateien hatten wohl eine Dateiendung in Grossbuchstaben (oder ein # im Dateinamen). ;-)
👊😂😂😂
Made my day
Das Problem ist nicht das in einem Unternehmen solche Dinge verloren gehen, Fehler passieren und oft sind es Verkettungen unglücklicher Umstände die nie vorkommen sollten und doch immer wieder und überall vorkommen.
Das wirkliche Problem liegt ganz woanders. In der Konzentration von direkten und nicht nur indirekten Abhängigkeiten von tausenden von Firmen bei einer handvoll Unternehmen/Standorten. Deren Uptime betrifft direkt die Uptime der abhängigen Firmen. Das gilt nicht nur in der IT, aber da ist es am offensichtlichsten und wird trotzdem aktiv ignoriert indem alles in einer handvoll RZ zentralisiert wird, Software nur läuft mit regelmässigen Verbindungscheck einer Aktivierung etc
Es will noch niemand handhaben, aber diese Tatsache wird die Eintrittsschwelle zum Untergang des Westens. Das hat wenig mit Verschwörungstheorie zu tun, sondern mit einer einfachen Risikobewertung. Die Eintrittswahrscheinlichkeit von katastrophalen Ereignissen sind nicht mehr „sehr unwahrscheinlich“ sondern tendieren richtung „möglich“. Die Massnahmen zur Risikominderung: völlig Unzureichend. Zumindest wenn man nicht völlig blind gegenüberden geopolitischen Veränderungen ist.
Was absolut keiner wahrhaben will, einen Totalausfall aller Windowssysteme!
Oder, die ach so tolle MS-Cloud!
Nicht möglich? Haha, ein „schadhaftes“ Update, reicht schon fast, und die MS-Cloud ist ja
bekanntlich gehakt! Aber auch da werden die Augen von verschlossen, dass AZURE im Grunde
nicht mehr als sicher gelten kann!
MS weiß bis heute nicht, wie genau das geschah, welche Daten genau abgegossen sind und
ob nicht weitere Backdoors installiert wurden! Aber sie behaupten, alles wäre nun wieder sicher!
Mensch Leute, schaltet mal Euren Grips ein, das ist deren grundlegendes Geschäftsmodell!
Wenn sie zugeben würden (müssten) dass Azure „kaputt“ ist, wären die ruckzuck bankrott.
UND, es hat schon seinen Grund, warum das Pentagon und andere Behörden Azure meiden!
Mein Reden und vermutlich ernten wir die gleichen mitleidigen Blicke. In Kriegszeiten schützt msn seinen Informationsfluss maximal und baut sich nicht noch zusätzliche offene Flanken auf.
Gier, Dummheit, Arroganz und was noch alles sind ja mittlerweile relevante Kriterien um Entscheider zu werden. Kompetenzen sind da eher hinderlich.
Gruß
Die gängigen Abos für KMU enthalten ja weiterhin wenig Logfiles. Da wird bei jedem zweiten Klick zum 30Tage-Testabo aufgefordert. Der Trend Sicherheitsfunktionen als Differenzierungmerkmal für verschiedene Tarife zu verwenden ist bedenklich.
Nach den „Sicherheitsvorfällen“ bei Microsoft365 wollte Microsoft doch die Logszeiträume und den Funktionsumfang in allen Tarifen erhöhen. Allein schon um die Aufsichtsbehörden in den USA zu besänftigen.
Gefühlt hat sich da nichts getan. Größte Änderung war die Einführung von Entra, damit nicht alle M356-Abos auch in Azure hängen. Den Anspruch, hier überhaupt noch Durchblick zu erlangen, lässt sich schwerlich aufrecht erhalten.
Was kann man auch anderes erwarten von einem Unternehmen, das seine monatlichen Updates regelmässig vermurkst und sich seinen Cloud-Generalschlüssel klauen lässt? Noch mehr Murks und Desaster!
Das eine hat nichts mit dem anderen zu tun. Es ist heute (wieder) Betriebsphilosphie von MS, dass der User der Tester ist. Reine Kostenauslagerung.
Das andere ist eine Kombi aus menschlichem Versagen, krimineller Energie und der Ignoranz gegenüber Software die immer fehlerhaft sein wird.
Zitat „und sich seinen Cloud-Generalschlüssel klauen lässt?“
Nein, noch viel schlimmer, es wurde ein Schlüssel entwendet, der sich im Nachhinein als Generalschlüssel entpuppt hat, weil noch nicht einmal ansatzweise von Microsoft getestet wurde und es wohl auch keine Richtlinien für die Entwickler gab, sonst wäre dieser katastrophale Fehler nicht passiert.
Protokollierung ist weder A noch O. Sichere Software ist das A und O, Know How ist A und O. Ersteres liefert Microsoft seltenst bis gar nicht, letzteres ist intern selten bis gar nicht mehr vorhanden.
Dann nach einer ganzen Weile kommt Protokollierung ins Spiel. Wenn ich darauf im Sicherheitskontext regelmäßig angewiesen bin, habe ich doch schon sehr viel verloren.
Wie bekommt man so etwas überhaupt hin?
Wir hatten früher(TM) immer eine Überwachung, ob Logfiles kommen, genug Platz dafür da ist etc. IIRC gab es dafür sogar ein fertiges Paket,weil viele das Problem haben. Das ist keine Raketenkunst.
Wie macht man so etwas über 18 Tage wirkungslos ohne dass es auffällt?(*)
War das gar kein Script sondern ein Mitarbeiter, der auch mal Urlaub macht?
Aber ich bin mir sicher:
Wir werden die Wahrheit nie erfahren.
(*) Erinnert mich an den Ausfall eines Accounting-Systems. Natürlich ist keinem Kunden aufgefallen, dass die Rechnung viel geringer war als in den Vormonaten. Das System hatte selbst festgestellt,das die Platte vollgelaufen war und hatte ein dickes Pop-up auf dem Bildschirm gezeigt. Leider war die Software zu doof den Bildschirm-Schoner zu deaktivieren…und so drehte die hübsche Animation über dem Pop-up…
Es gab danach ein Screensaver Verbot für alle Server…
Es soll zeigen, das niemand perfekt ist und der Teufel ein Eichhörnchen sein kann.
Für einen Anbieter mit Millionen Kunden und Milliarden Gewinnen darf so etwas nicht passieren.
14 Tage keine Log Files und alle freuen sich,dass alles so fehlermeldungsfrei läuft?
Hallo?
Zumaljedes Monitoringsystem feststellen sollte wenn Daten nicht mehr ankommen.
Tricky wird es wenn einzelne Zeilen / Informationen verloren gehen. Das ist ab einer gewissen Größenordnung schon ein echtes Brett.
Wie schön, dass selbst Versicherungen die MS Cloud immer noch als „Goldstandard“ klassifizieren und im Scoring einfließen lassen. Letztens bei einem mittelgroßen Kunden Diskussionen mit einer namhaften „Cyberversicherung“ geführt, weil der Kunde eben nicht auf MS Cloud oder Google setzt. Insbesondere für Maildienste (eigene Server in CoLo). Das gab dann mal locker 7 Punkte Abzug (80 sind Minimum, 100 Maximum; Kunde hatte 93 erreicht). Begründung:
„ Wir sprechen aus Sicht des Versicherers, der umfangreiche Erfahrung mit Risikoprofilen von kleinen und mittelständischen Betrieben hat. Oft sehen wir leider, dass in diesen Unternehmen motivierte, aber letztlich unterbesetzte Teams mit zu kleinen Budgets arbeiten. Dies ist verständlich, da es unternehmerische Realität ist, aber spricht nicht für eine bessere Risikoqualität. Größere Dienstleister sind nach unserer Schadenerfahrung weniger schadensträchtig für diese Art von Unternehmen: sie können Teams unterhalten, die im Allgemeinen Software auf einem aktuellen Stand halten, Fehlkonfigurationen durch Red Teaming usw. entdecken und 24/7 Überwachungs- und Incident Response-Fähigkeiten vorhalten. Dies sind alles Punkte, die gerade bei Bedrohungsszenarien wie Ransomware – was bei uns neben Business E-Mail Compromise einer der großen Schadentreiber ist – hilfreich sind. Ebenso sehen diese Dienstleister auf Grund ihrer Größe ein Vielfaches an Angriffen und können so ihre Erkennung Fähigkeiten verbessern.“
Im Klartext neben viel Blabla: Unternehmens IT kann nix bzw. ist chronisch unterbesetzt, aber MS & Co. machen alles besser.