[English]Unschöne Geschichte, die mir gerade untergekommen ist. Bei Microsoft hat es einen Bug gegeben, der bewirkte, dass Log-Dateien von Sicherheitsprodukten in der Microsoft-Cloud nicht zuverlässig gespeichert wurden. Das könnte die Erkennung von Bedrohungen verhindern – was erneut Sicherheitsbedenken hinsichtlich der Zuverlässigkeit von Microsoft als Unternehmen und dessen Cloud-Diensten hervor ruft.
Anzeige
Bug verhindert Logging
Ich auf X über den nachfolgenden Tweet auf das Thema aufmerksam geworden. Benzinga hat das Ganze in diesem Beitrag aufbereitet – der Erstbericht bei Business Insider ist hinter einer Schranke für mich nicht abrufbar.
Protokollierung ist das A und O
Protokolle, die Ereignisse innerhalb eines Programms, wie z. B. die Anmeldung bei einem Konto, dokumentieren, spielen eine entscheidende Rolle bei der Identifizierung von unbefugten Netzwerk- und Kontenzugriffen. Lücken in der Protokollierung führen bei eine Sicherheitsvorfall dazu, dass Zugriffe ggf. nicht mehr nachvollzogen werden können – eine forensische Analyse wird damit unmöglich. Das Fehlen einer ordnungsgemäßen Aufzeichnung könnte zudem dazu führen, dass potenzielle Eindringlinge übersehen werden.
Lücken in der Protokollierung
Der Bericht von Business Insider besagt, dass es bei Microsoft eine technische Panne gab, der die konsistente Erfassung von Protokolldaten für eine Reihe seiner wichtigen Cloud-Dienste verhinderte. Ein Bug in einem internen Überwachungsagenten von Microsoft bewirkte, dass das Hochladen von Protokolldaten auf die Protokollierungsplattform des Unternehmens in der Zeit vom 2. bis 19. September 2024 fehlerhaft war.
Dadurch gingen den Berichten zufolge Protokolldaten von mehreren wichtigen Microsoft Sicherheitsprodukten verloren. Dies beeinträchtig die Fähigkeit der Kunden, Bedrohungen zu erkennen und Sicherheitswarnungen zu generieren.
Anzeige
Zu den betroffenen Produkten gehören Microsoft Entra, Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft Purview. Insbesondere Microsoft Sentinel-Kunden haben möglicherweise Lücken in sicherheitsrelevanten Protokollen oder Ereignissen festgestellt.
Dieses Problem hatte keine Auswirkungen auf den Betrieb von kundenorientierten Diensten oder Ressourcen, sprich die jeweiligen Dienste waren nicht ausgefallen. Lediglich die Protokollierung streikte. Kunden wird damit die Fähigkeit genommen, Daten über Zugriffe während des genannten Zeitraums zu analysieren, Bedrohungen zu erkennen oder Sicherheitswarnungen zu generieren. Es gibt aber wohl keine Hinweise auf Cyberangriffe, die auf diesen Vorfall zurückzuführen sind.
Wie zuverlässig ist Microsoft noch?
Eine konsistente und genaue Protokolldatenerfassung ist für die Aufrechterhaltung robuster Sicherheitsprotokolle enorm wichtig. Eine Lücke in den Sicherheitsmaßnahmen kann sich sofort auf eine große Anzahl von Kunden weltweit auswirken.
Microsoft hat sich zu diesem Vorfall noch nicht geäußert. Der Verlust von Protokolldaten fällt aber in ein Raster, dass "vieles in Redmond nicht (mehr) klappt". Dabei hatte Microsoft nach vorherigen Sicherheitsvorfällen, bei denen seine Cloud-Dienste gehackt wurden und die Angreifer über Monate unerkannt im Microsoft-Netzwerk unterwegs waren, eine Security-Initiative ausgerufen. Man wurde nicht müde, zu betonen, dass Sicherheit nun oberste Priorität habe.
Der Vorfall wirft nun erneut Fragen über die Effektivität der internen Qualitätssicherung und der Überwachungssysteme von Microsoft, die solche Fehler eigentlich aufdecken sollten.
Die Reaktion Microsofts auf diesen Vorfall und die Maßnahmen, die zur Verhinderung künftiger Vorfälle ergriffen werden, werden von Kunden und Interessengruppen sicherlich gleichermaßen aufmerksam verfolgt.
Anzeige
Immer mehr mangelnde Verantwortlichkeit, egal in welchem Bereich, in welcher Ebene.
Da kann ich dir nur zustimmen…
Hauptsache das Design wird wieder und wieder geändert und dann als Update verkauft.
Oder:
"schöne Sicherheitslösung haben Sie da, die überwacht ja wirklich alles und protokolliert ja toll! Hey M$ wir sind von den "drei Buchstaben" und müssen mal eben was machen, bitte schalte die Protokollierung ab, damit das nicht auffällt"
Nicht das es jetzt so war, aber ist auch eine Möglichkeit die in Frage kommt, kann man ja am Ende mit "bedauerlicher Softwarefehler, da kann man nichts machen!" abtun, dann fragt im Regelfall eh keiner mehr nach. Ist ja nicht so, dass Schadsoftware als erstes versuchen, die Sicherheitstechnik abzuschalten / zu umgehen damit die weiter wirken können.
Aber, wenn man die elendlichen Ladezeiten der Adminpages von Defender & Co. außer acht lässt, sind diese ganz ok, ab und an überladen, aber im ganzen ist das nicht schlecht.
Und es gibt immer noch Menschen, die sich das freiwillig und ohne Not antun…
Die Log-Dateien hatten wohl eine Dateiendung in Grossbuchstaben (oder ein # im Dateinamen). ;-)
Das Problem ist nicht das in einem Unternehmen solche Dinge verloren gehen, Fehler passieren und oft sind es Verkettungen unglücklicher Umstände die nie vorkommen sollten und doch immer wieder und überall vorkommen.
Das wirkliche Problem liegt ganz woanders. In der Konzentration von direkten und nicht nur indirekten Abhängigkeiten von tausenden von Firmen bei einer handvoll Unternehmen/Standorten. Deren Uptime betrifft direkt die Uptime der abhängigen Firmen. Das gilt nicht nur in der IT, aber da ist es am offensichtlichsten und wird trotzdem aktiv ignoriert indem alles in einer handvoll RZ zentralisiert wird, Software nur läuft mit regelmässigen Verbindungscheck einer Aktivierung etc
Es will noch niemand handhaben, aber diese Tatsache wird die Eintrittsschwelle zum Untergang des Westens. Das hat wenig mit Verschwörungstheorie zu tun, sondern mit einer einfachen Risikobewertung. Die Eintrittswahrscheinlichkeit von katastrophalen Ereignissen sind nicht mehr "sehr unwahrscheinlich" sondern tendieren richtung "möglich". Die Massnahmen zur Risikominderung: völlig Unzureichend. Zumindest wenn man nicht völlig blind gegenüberden geopolitischen Veränderungen ist.
Was absolut keiner wahrhaben will, einen Totalausfall aller Windowssysteme!
Oder, die ach so tolle MS-Cloud!
Nicht möglich? Haha, ein "schadhaftes" Update, reicht schon fast, und die MS-Cloud ist ja
bekanntlich gehakt! Aber auch da werden die Augen von verschlossen, dass AZURE im Grunde
nicht mehr als sicher gelten kann!
MS weiß bis heute nicht, wie genau das geschah, welche Daten genau abgegossen sind und
ob nicht weitere Backdoors installiert wurden! Aber sie behaupten, alles wäre nun wieder sicher!
Mensch Leute, schaltet mal Euren Grips ein, das ist deren grundlegendes Geschäftsmodell!
Wenn sie zugeben würden (müssten) dass Azure "kaputt" ist, wären die ruckzuck bankrott.
UND, es hat schon seinen Grund, warum das Pentagon und andere Behörden Azure meiden!
Die gängigen Abos für KMU enthalten ja weiterhin wenig Logfiles. Da wird bei jedem zweiten Klick zum 30Tage-Testabo aufgefordert. Der Trend Sicherheitsfunktionen als Differenzierungmerkmal für verschiedene Tarife zu verwenden ist bedenklich.
Nach den "Sicherheitsvorfällen" bei Microsoft365 wollte Microsoft doch die Logszeiträume und den Funktionsumfang in allen Tarifen erhöhen. Allein schon um die Aufsichtsbehörden in den USA zu besänftigen.
Gefühlt hat sich da nichts getan. Größte Änderung war die Einführung von Entra, damit nicht alle M356-Abos auch in Azure hängen. Den Anspruch, hier überhaupt noch Durchblick zu erlangen, lässt sich schwerlich aufrecht erhalten.
Was kann man auch anderes erwarten von einem Unternehmen, das seine monatlichen Updates regelmässig vermurkst und sich seinen Cloud-Generalschlüssel klauen lässt? Noch mehr Murks und Desaster!
Das eine hat nichts mit dem anderen zu tun. Es ist heute (wieder) Betriebsphilosphie von MS, dass der User der Tester ist. Reine Kostenauslagerung.
Das andere ist eine Kombi aus menschlichem Versagen, krimineller Energie und der Ignoranz gegenüber Software die immer fehlerhaft sein wird.
Protokollierung ist weder A noch O. Sichere Software ist das A und O, Know How ist A und O. Ersteres liefert Microsoft seltenst bis gar nicht, letzteres ist intern selten bis gar nicht mehr vorhanden.
Dann nach einer ganzen Weile kommt Protokollierung ins Spiel. Wenn ich darauf im Sicherheitskontext regelmäßig angewiesen bin, habe ich doch schon sehr viel verloren.