Microsoft Mengumumkan Kehilangan Log Keamanan Produk Cloud Pelanggan Selama Beberapa Pekan
(techcrunch.com)- Sebagian pelanggan cloud Microsoft mengalami kekosongan log keamanan selama lebih dari 2 minggu, sehingga mungkin kehilangan data yang dibutuhkan untuk deteksi intrusi dan analisis pascainsiden
- Dari 2 September hingga 19 September, bug pada agen pemantauan internal menghambat pengunggahan sebagian log, sehingga data tidak tersisa di platform logging internal
- Microsoft menjelaskan bahwa penyebabnya adalah bug operasional, bukan insiden keamanan, dan cakupan dampaknya terbatas pada “pengumpulan event log”
- Produk yang terdampak mencakup Microsoft Entra, Sentinel, Defender for Cloud, Purview, dan mungkin terjadi kekosongan dalam analisis data, deteksi ancaman, serta pembuatan peringatan keamanan pelanggan
- Karena setelah insiden intrusi terkait Tiongkok pada 2023 Microsoft telah menyatakan akan memperluas penyediaan log juga ke paket berbiaya rendah, aksesibilitas dan keandalan retensi log keamanan cloud kembali menjadi isu
Hilangnya Log Keamanan Cloud Microsoft
- Microsoft memberi tahu sebagian pelanggan produk cloud bahwa log keamanan selama lebih dari 2 minggu hilang
- Periode yang hilang adalah dari 2 September hingga 19 September
- Dalam pemberitahuan kepada pelanggan disebutkan bahwa sebagian agen pemantauan internal Microsoft mengalami malfungsi saat mengunggah data log ke platform logging internal
- Gangguan logging tersebut bukan disebabkan oleh insiden keamanan, dan Microsoft menjelaskan dampaknya hanya terjadi pada “pengumpulan event log”
- Logging adalah fungsi untuk melacak event di dalam produk, dan dapat mencakup data seperti informasi login pengguna dan percobaan yang gagal
- Tanpa log, pelanggan bisa lebih sulit mengidentifikasi akses tidak sah ke jaringan mereka selama periode tersebut
- Business Insider pertama kali melaporkan hilangnya data log pada awal Oktober
- Peneliti keamanan Kevin Beaumont menilai bahwa pemberitahuan yang dikirim Microsoft kepada perusahaan terdampak kemungkinan besar hanya terlihat oleh sejumlah kecil pengguna dengan hak administrator tenant
Produk yang Terdampak dan Dampaknya bagi Pelanggan
- Produk yang terdampak mencakup Microsoft Entra, Sentinel, Defender for Cloud, Purview
- Pemberitahuan kepada pelanggan menjelaskan bahwa mungkin ada kekosongan pada log atau event terkait keamanan
- Kekosongan ini mungkin memengaruhi kemampuan analisis data, deteksi ancaman, dan pembuatan peringatan keamanan
- Microsoft tidak menjawab pertanyaan spesifik mengenai gangguan logging tersebut, tetapi corporate vice president John Sheehan mengonfirmasi penyebabnya sebagai “bug operasional pada agen pemantauan internal”
- Microsoft memitigasi masalah tersebut dengan melakukan rollback perubahan layanan
- Microsoft menyatakan telah memberi tahu semua pelanggan terdampak dan akan memberikan dukungan yang diperlukan
Masalah Log Kembali Mencuat Setelah Intrusi Terkait Tiongkok pada 2023
- Gangguan ini terjadi satu tahun setelah Microsoft dikritik oleh penyelidik federal AS pada 2023 karena tidak menyediakan log keamanan kepada sebagian departemen pemerintah federal AS
- Saat itu, para penyelidik menilai bahwa jika log tersebut dapat diakses, intrusi terkait Tiongkok bisa diidentifikasi jauh lebih cepat
- Penyusup terkait Tiongkok Storm-0558 membobol jaringan Microsoft dan mencuri “skeleton key” digital
- Dengan kunci ini, mereka dapat mengakses email pemerintah AS yang tersimpan di cloud Microsoft tanpa batasan
- Menurut analisis pascaserangan siber pemerintah, State Department mengidentifikasi intrusi tersebut karena telah membeli lisensi Microsoft tingkat lebih tinggi sehingga dapat mengakses log keamanan produk cloud
- Banyak lembaga pemerintah AS lain yang menjadi korban peretasan tidak memiliki hak akses log yang sama
- Setelah peretasan terkait Tiongkok tersebut, Microsoft menyatakan akan menyediakan log juga untuk akun cloud dengan paket berbiaya rendah mulai September 2023
1 komentar
Opini Hacker News
Jika memakai Azure di lingkungan produksi yang realistis, menurut saya tanggung jawabnya ada pada diri sendiri
Bahkan jika diberi kredit gratis senilai 100 ribu dolar, itu pun tidak akan cukup meyakinkan saya untuk memakainya lebih dari sebulan
Mahal, antarmukanya sangat tidak ramah, dan yang paling penting, kejadian seperti ini membuat produknya tidak terlihat cukup andal untuk dipercaya menangani beban produksi
Semuanya terasa tidak konsisten dan seperti tempelan sana-sini, jadi sulit percaya ada orang yang benar-benar bisa melakukan audit keamanan dengan layak
Bagian yang paling menyebalkan adalah login; redirect dan error-nya sangat banyak dan rasanya sulit percaya itu bekerja sesuai maksud
Misalnya saya mencoba mengunduh BAA, lalu terjebak dalam login loop di situs tepercaya, tetapi di browser yang sama konsol Azure masih bisa dibuka dengan normal
Saya lalu logout dari akun Azure untuk melihat apakah login baru membantu, tetapi pada login berikutnya autentikasi dua faktor tidak muncul
Kalau saya sudah logout secara eksplisit dari jendela browser, itu berarti kepercayaan terhadap perangkat tersebut seharusnya dicabut, jadi tidak terpicunya autentikasi dua faktor adalah tanda bahaya besar
Akhirnya saya tetap tidak bisa mendapatkan BAA maupun membuka tiket, tetapi anehnya rekan saya bisa mengunduhnya dengan normal
Pada titik itu seharusnya berhenti sejenak dan berpikir
Bukankah sejak awal memilih Linux karena ingin sistem yang bisa dipercaya?
Produk “bagus” terakhir yang mereka buat adalah SQL Server/Exchange/Windows 2000, dan itu sudah sangat lama sekali
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
Hampir semua tim punya bug nyata pada aplikasi yang berjalan di VM, dan aplikasinya dirancang untuk mendorong log aplikasi ke storage
Tim kami juga harus me-restart proses agar aliran log kembali berjalan
Ini adalah insiden sev 0, dan merupakan kesalahan yang tidak mudah diperbaiki karena begitu banyak tim harus me-restart secara manual agen yang biasanya diam-diam berjalan di background
Gangguan global ClownStrike baru-baru ini menunjukkan kurangnya pengujian sebelum rilis, dan masalah Microsoft kali ini menunjukkan hal yang sama juga terjadi di sisi akar Windows
Ini bukan pemandangan yang bagus
Bagian yang menyebut produk yang terdampak mencakup Microsoft Entra, Sentinel, Defender for Cloud, dan Purview terasa menyakitkan
Entra, yang dulu bernama Azure Active Directory, ikut terdampak itu cukup serius
Tapi ya, siapa sih yang butuh log SSO?
Ketidaktahuan itu memang menenangkan
Tambahan lagi, saat melihat tulisan Entra saya sempat mengira itu Encarta, lalu sesaat bersemangat karena mengira itu masih ada
Azure Active Directory juga bukan nama yang hebat, tetapi terus-menerus me-rebranding semuanya itu melelahkan sekali
Syukurlah sistem produksi tidak terintegrasi dengan Entra, hanya hal-hal yang tidak terkait pelanggan yang terhubung ke sana
Saya penasaran operasi intelijen seperti apa yang mungkin terbantu oleh ini
Jangan lupakan juga tulisan panjang ini dari sedikit lebih dari sebulan lalu
Itu merangkum bagaimana Microsoft gagal dalam keamanan siber luar negeri dan terlihat seperti sengaja membiarkannya
https://www.lawenforcementtoday.com/bombshell-allegations-th...
Di sisi lain, Schiller juga tidak terlihat seperti saksi yang sepenuhnya bisa dipercaya, dan ada indikasi bahwa pihak yang dimintai pengawasan pemerintah terbatas pada anggota DPR Partai Republik MAGA yang ekstrem
Meski begitu, saya 100% setuju bahwa 1) dukungan untuk infrastruktur inti pemerintah AS seharusnya tidak bergantung pada tenaga pendukung berkewarganegaraan asing, dan 2) semua perusahaan teknologi besar, termasuk hyperscaler, demi bisa berbisnis di Tiongkok, membuat kesepakatan dengan lingkup pemerintah Tiongkok melalui perantara domestik seperti Tencent dan Alicloud
Pengawasan terhadap kontrak-kontrak seperti ini, serta syarat yang memungkinkan personel dari pihak Tiongkok mendapat akses langsung ke stack hardware dan software, masih jauh dari memadai
Kenapa mereka mengakuinya secara terbuka?
Itu cara yang sering dipakai MSFT untuk menangani hal seperti ini
Azure itu buruk
Khususnya Batch Service; penjadwal pekerjaannya sama sekali tidak akurat
Bahkan tempat-tempat dengan infrastruktur terburuk dan praktik operasional paling mengerikan yang pernah saya lihat pun punya mekanisme canggih sehingga hal seperti ini pada dasarnya mustahil terjadi
Karena kalau ini sampai terjadi, dampaknya memang sangat serius
Bahkan sebelum kejadian ini, saya rasanya tetap tidak akan mau menaruh bisnis saya di atas infrastruktur cloud terkelola Azure
Sulit membayangkan lewat eksperimen pikiran bagaimana ini bisa terjadi tanpa kegagalan fatal pada keseluruhan sistem
Dulu ada komentar di sini yang bilang msft lebih ramah perusahaan dibanding Google
Alasannya karena mereka tidak kehilangan data, tetapi msft berada di sisi berlawanan dari keandalan
Ini tercium seperti upaya penutupan
“Kerentanan platform kami terlihat di syslog pelanggan!” “Cepat semuanya, hilangkan log-nya dan beli waktu lebih banyak” — kesannya seperti itu