Microsoft pierde semanas de registros de seguridad de los productos en la nube de sus clientes
El gigante tecnológico Microsoft ha anunciado a sus clientes que le faltan más de 2 semanas de registro de seguridad de algunos de sus productos en la nube. Esto deja a los equipos de ciberseguridad sin datos críticos para detectar posibles intrusiones.
Según una notificación enviada a los clientes afectados, Microsoft señala que un error en uno de los agentes de monitoreo interno de la empresa resultó en un mal funcionamiento de algunos de los agentes, al cargar datos de registro en la plataforma interna. Además, el escrito manifiesta que la interrupción del registro no ha sido causada por un incidente de seguridad y solo afectó la recopilación de eventos de registro.
Medios digitales han informado por primera vez acerca de la pérdida de datos de registro a principios del mes de octubre, en donde los detalles de la notificación no se han publicado ampliamente. Tal y como señalan los investigadores de seguridad, las notificaciones que Microsoft ha enviado a las compañías afectadas probablemente sean accesibles para un puñado de usuarios con derechos de administrador
Este registro ayuda a realizar un seguimiento de los eventos dentro de un producto cualquiera, como información sobre los usuarios que inician sesión y los intentos fallidos, lo que puede ayudar a los equipos de ciberseguridad a identificar intrusiones sospechosas. La falta de registros podría dificultar la identificación de accesos no autorizados a las redes de los clientes durante ese período de 2 semanas.
Los productos afectados incluyen Microsoft Entra, Sentinel, Defender for Cloud y Purview, esto según el informe de los medios digitales. Del mismo modo, los clientes afectados pueden haber experimentado posibles lagunas en los registros o eventos relacionados con la seguridad, lo que posiblemente afecte a la capacidad de los clientes para analizar datos detectar amenazas o generar alertas de seguridad.
El gigante tecnológico Microsoft no ha respondido preguntas específicas sobre la interrupción del registro. Sin embargo, un ejecutivo de la poderosa compañía ha confirmado a diversos medios digitales que el incidente ha sido causado por un error operativo, dentro del agente de monitoreo interno.
Además, los expertos señalan que han mitigado el problema revirtiendo un cambio de servicio. Se han comunicado con todos los clientes afectados y van a brindar soporte según crean necesario, según el testimonio del vicepresidente corporativo de Microsoft.
Para recordar, la interrupción del registro se produce 1 año después de que Microsoft fuese criticado por los investigadores federales, al retener los registros de seguridad de ciertos departamentos del Gobierno Federal de los Estados Unidos, los cuales alojan sus correos electrónicos en la nube reforzada y exclusiva para el gobierno de esta compañía. Incluso, los investigadores federales manifestaron que tener acceso a esos registros, podría haber identificado una serie de instrucciones respaldadas por China mucho antes.
Los actores maliciosos respaldados por China, un grupo llamado Storm-0558, irrumpieron en la red de Microsoft y robaron una llave maestra digital que les permitió acceder sin restricciones a los correos electrónicos del Gobierno de los Estados Unidos almacenados en la nube de Microsoft.
Según una investigación después del ciberataque emitida por el mismo gobierno, el Departamento de Estado identificó las instituciones debido a que pagó por una licencia de Microsoft de nivel superior, la cual otorgaba acceso a los registros de seguridad de sus productos en la nube que muchas otras agencias del Gobierno estadounidense hackeadas no tenían.
