【ITBEAR】近日,微软公司向其客户通报了一项重大安全事件,揭示了因软件故障导致的关键安全日志数据丢失问题。据初步估计,从2021年9月2日至19日,这一漏洞使依赖这些日志监测未授权活动的公司面临风险。
在此次事件中,丢失的日志涵盖了可疑流量、行为以及登录尝试等监控数据,为攻击者提供了未被发现的机会。微软的初步事件后评审(PIR)报告指出,9月2日至3日之间,某些服务的日志记录出现问题,并持续至10月3日。
经过审查,微软确认了受该漏洞影响的服务,且各服务受影响程度不同,具体包括:Microsoft Entra的登录和活动日志可能不完整;Azure Logic Apps在日志分析、资源日志和诊断设置中出现间歇性数据缺失;Azure Healthcare APIs的部分诊断日志不完整;Microsoft Sentinel的安全相关日志或事件缺失,影响威胁检测能力;Azure Monitor的查询结果减少,可能影响警报;Azure Trusted Signing的签名日志量减少;Azure Virtual Desktop的部分应用程序洞察不完整;以及Power Platform的各类报告中数据存在轻微差异。
微软解释称,日志记录失败是由于在修复其他问题时引入的bug导致的调度组件死锁,影响了遥测数据上传。发现问题后,微软已进行了修复,并向所有客户通报了该事件。
尽管如此,网络安全专家仍提醒,在此过程中,仍有部分公司未能收到通知,需保持警惕。
