2 คะแนน โดย GN⁺ 2024-10-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ลูกค้าคลาวด์บางรายของ Microsoft ประสบช่องว่างของ ล็อกความปลอดภัยนานกว่า 2 สัปดาห์ และอาจสูญเสียข้อมูลที่จำเป็นต่อการตรวจจับการบุกรุกและการวิเคราะห์ย้อนหลัง
  • ตั้งแต่วันที่ 2 กันยายนถึง 19 กันยายน บั๊กใน เอเจนต์มอนิเตอร์ภายใน ขัดขวางการอัปโหลดล็อกบางส่วน ทำให้ไม่มีข้อมูลเหลืออยู่ในแพลตฟอร์มล็อกภายใน
  • Microsoft อธิบายว่าสาเหตุเป็น บั๊กด้านปฏิบัติการ ไม่ใช่เหตุการณ์ด้านความปลอดภัย และขอบเขตผลกระทบจำกัดอยู่ที่ “การเก็บรวบรวมเหตุการณ์ล็อก”
  • ผลิตภัณฑ์ที่ได้รับผลกระทบรวมถึง Microsoft Entra, Sentinel, Defender for Cloud, Purview ซึ่งอาจทำให้เกิดช่องว่างในการวิเคราะห์ข้อมูล การตรวจจับภัยคุกคาม และการสร้างการแจ้งเตือนด้านความปลอดภัยของลูกค้า
  • หลังเหตุการณ์บุกรุกที่เชื่อมโยงกับจีนในปี 2023 Microsoft เคยระบุว่าจะขยายการให้ล็อกไปยังแพ็กเกจราคาต่ำด้วย ทำให้ ความเข้าถึงได้และความน่าเชื่อถือในการเก็บรักษา ของล็อกความปลอดภัยบนคลาวด์กลับมาเป็นประเด็นอีกครั้ง

ล็อกความปลอดภัยคลาวด์ของ Microsoft หายไป

  • Microsoft แจ้งลูกค้าผลิตภัณฑ์คลาวด์บางรายว่า ล็อกความปลอดภัยหายไปนานกว่า 2 สัปดาห์
    • ช่วงเวลาที่หายไปคือตั้งแต่วันที่ 2 กันยายนถึง 19 กันยายน
    • ในการแจ้งลูกค้า ระบุว่าเอเจนต์มอนิเตอร์ภายในบางส่วนของ Microsoft ทำงานผิดพลาดระหว่างอัปโหลดข้อมูลล็อกไปยังแพลตฟอร์มล็อกภายใน
  • ความขัดข้องด้านล็อกดังกล่าว ไม่ได้เกิดจากเหตุการณ์ด้านความปลอดภัย และ Microsoft อธิบายว่าผลกระทบมีเฉพาะ “การเก็บรวบรวมเหตุการณ์ล็อก” เท่านั้น
  • การทำล็อกเป็นฟังก์ชันสำหรับติดตามเหตุการณ์ในผลิตภัณฑ์ และอาจรวมข้อมูลอย่างรายละเอียดการเข้าสู่ระบบของผู้ใช้และความพยายามที่ล้มเหลว
    • หากไม่มีล็อก อาจทำให้ระบุ การเข้าถึงโดยไม่ได้รับอนุญาต ต่อเครือข่ายของลูกค้าในช่วงเวลาดังกล่าวได้ยากขึ้น
  • Business Insider รายงานเรื่องการสูญหายของข้อมูลล็อกเป็นรายแรกในช่วงต้นเดือนตุลาคม
  • นักวิจัยด้านความปลอดภัย Kevin Beaumont มองว่าการแจ้งเตือนที่ Microsoft ส่งให้บริษัทที่ได้รับผลกระทบนั้นมีแนวโน้มจะมองเห็นได้เฉพาะผู้ใช้จำนวนน้อยที่มีสิทธิ์ผู้ดูแลเทนแนนต์

ผลิตภัณฑ์ที่ได้รับผลกระทบและผลกระทบต่อลูกค้า

  • ผลิตภัณฑ์ที่ได้รับผลกระทบรวมถึง Microsoft Entra, Sentinel, Defender for Cloud, Purview
  • การแจ้งลูกค้าระบุว่าอาจเกิดช่องว่างที่เป็นไปได้ในล็อกหรือเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย
    • ช่องว่างนี้อาจส่งผลต่อความสามารถในการวิเคราะห์ข้อมูล ตรวจจับภัยคุกคาม และสร้างการแจ้งเตือนด้านความปลอดภัย
  • Microsoft ไม่ได้ตอบคำถามเฉพาะเกี่ยวกับความขัดข้องด้านล็อก แต่ John Sheehan ซึ่งเป็น corporate vice president ยืนยันสาเหตุว่าเป็น “บั๊กด้านปฏิบัติการของเอเจนต์มอนิเตอร์ภายใน”
    • Microsoft ย้อนกลับการเปลี่ยนแปลงบริการเพื่อบรรเทาปัญหา
    • บริษัทระบุว่าได้แจ้งลูกค้าทุกรายที่ได้รับผลกระทบแล้ว และจะให้การสนับสนุนที่จำเป็น

ปัญหาเรื่องล็อกกลับมาปะทุอีกครั้งหลังการบุกรุกที่เชื่อมโยงกับจีนในปี 2023

  • ความขัดข้องครั้งนี้เกิดขึ้นหนึ่งปีหลังจาก Microsoft ถูกผู้สอบสวนของรัฐบาลกลางสหรัฐฯ วิจารณ์ว่าไม่ได้ให้ล็อกความปลอดภัยแก่หน่วยงานรัฐบาลกลางสหรัฐฯ บางแห่งในปี 2023
    • ในขณะนั้นผู้สอบสวนมองว่าหากเข้าถึงล็อกดังกล่าวได้ ก็น่าจะระบุการบุกรุกที่เชื่อมโยงกับจีนได้เร็วกว่านี้มาก
  • ผู้บุกรุกที่เชื่อมโยงกับจีน Storm-0558 แทรกซึมเข้าเครือข่ายของ Microsoft และขโมย “skeleton key” ดิจิทัล
    • กุญแจนี้ทำให้เข้าถึงอีเมลของรัฐบาลสหรัฐฯ ที่เก็บอยู่บนคลาวด์ของ Microsoft ได้อย่างไม่จำกัด
  • ตามการวิเคราะห์ย้อนหลังหลังการโจมตีทางไซเบอร์ของรัฐบาล State Department ระบุการบุกรุกได้ เพราะซื้อไลเซนส์ Microsoft ระดับสูงกว่า จึงเข้าถึงล็อกความปลอดภัยของผลิตภัณฑ์คลาวด์ได้
    • หน่วยงานรัฐบาลสหรัฐฯ อื่น ๆ จำนวนมากที่ตกเป็นเหยื่อการแฮ็กไม่มีสิทธิ์เข้าถึงล็อกเดียวกัน
  • หลังเหตุแฮ็กที่เชื่อมโยงกับจีน Microsoft ระบุว่าจะให้ล็อกแก่ บัญชีคลาวด์แพ็กเกจราคาต่ำ ด้วย ตั้งแต่เดือนกันยายน 2023

1 ความคิดเห็น

 
GN⁺ 2024-10-22
ความคิดเห็นบน Hacker News
  • ถ้าใช้ Azure ในสภาพแวดล้อมโปรดักชันจริง ๆ ผมว่าคุณต้องรับผิดชอบเอง
    ต่อให้ให้เครดิตฟรีมูลค่า 100,000 ดอลลาร์ ก็คงโน้มน้าวให้ผมใช้เกินหนึ่งเดือนไม่ได้
    แพง อินเทอร์เฟซก็ใช้งานยากมาก และเหนือสิ่งอื่นใด เหตุการณ์แบบนี้ทำให้ผลิตภัณฑ์ดูไม่น่าเชื่อถือพอจะฝากโหลดโปรดักชันไว้ได้

    • ถ้าย้ายจากผู้ให้บริการคลาวด์รายอื่นมาใช้ Azure จะเห็นไฟเตือนสีส้มเข้มเต็มไปหมด
      ทั้งระบบให้ความรู้สึกไม่สอดคล้องกันและเหมือนเอาชิ้นส่วนมาปะติดปะต่อ จนยากจะเชื่อว่าจะมีใครตรวจสอบความปลอดภัยได้อย่างถูกต้อง
      ส่วนที่น่าหงุดหงิดที่สุดคือการล็อกอิน มีการรีไดเรกต์และข้อผิดพลาดมากจนน่าเหลือเชื่อ และดูไม่เหมือนทำงานตามที่ตั้งใจไว้
      เช่น ตอนพยายามดาวน์โหลด BAA ผมติดอยู่ในลูปล็อกอินบนเว็บไซต์ที่เชื่อถือได้ แต่ในเบราว์เซอร์เดียวกันกลับเปิดคอนโซล Azure ได้ปกติ
      ผมออกจากระบบบัญชี Azure เพื่อดูว่าการล็อกอินใหม่จะช่วยไหม แต่ครั้งถัดไปที่ล็อกอินกลับไม่มี การยืนยันตัวตนสองขั้นตอน ขึ้นมา
      ถ้าผมออกจากระบบอย่างชัดเจนในหน้าต่างเบราว์เซอร์ นั่นก็คือการถอนความเชื่อถือในอุปกรณ์นั้น ดังนั้นการที่ไม่ทริกเกอร์การยืนยันตัวตนสองขั้นตอนจึงเป็นสัญญาณเตือนใหญ่
      สุดท้ายผมก็ไม่ได้ BAA และเปิด ticket ไม่ได้ด้วย แต่แปลกที่เพื่อนร่วมงานกลับดาวน์โหลดได้ตามปกติ
    • เมื่อเร็ว ๆ นี้เห็นที่หนึ่งพยายามติดตั้ง ซอฟต์แวร์ MS ลงในเครื่อง Linux ทุกเครื่องเพื่อผสานเข้ากับ Azure แล้วก็ขำ
      ถึงจุดนั้นควรหยุดคิดสักพักได้แล้ว
      เดิมทีไม่ได้เลือก Linux เพราะต้องการระบบที่เชื่อถือได้หรอกหรือ?
    • ไม่ได้จะทำตัวเป็นโทรลกับคำว่า “ทำได้ดีกว่านี้” แต่ผมคิดว่าพวกเขาทำไม่ได้จริง ๆ
      ผลิตภัณฑ์ “ดี” ล่าสุดที่ทำออกมาคือ SQL Server/Exchange/Windows 2000 และนั่นก็นานมากแล้ว
    • ภายในเองก็เป็นแบบนั้น: “แม้แต่ LinkedIn ก็ไม่ค่อยกระตือรือร้นกับคลาวด์ของ Microsoft: ยกเลิกการย้ายไป Azure”
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • น่าเสียดายที่ตัวเลือกแบบนี้ถูกตัดสินใจโดย ผู้บริหารระดับบน และพวกเขาก็แค่ตามกระแส
  • แทบทุกทีมมีบั๊กจริงในแอปพลิเคชันที่รันบน VM และแอปนั้นถูกออกแบบให้ส่ง log ของแอปพลิเคชันเข้าไปยัง storage
    ทีมของเราก็ต้องรีสตาร์ตโปรเซสเพื่อให้ log กลับมาไหลอีกครั้ง
    นี่เป็น เหตุการณ์ sev 0 และเป็นความผิดพลาดที่แก้ได้ไม่ง่าย เพราะหลายทีมต้องรีสตาร์ตเอเจนต์ที่ปกติรันเงียบ ๆ อยู่เบื้องหลังด้วยมือ

    • ถ้า Microsoft ทำ การทดสอบอัตโนมัติ ในระดับความลึกที่สมเหตุสมผล เรื่องแบบนี้คงไม่เกิดซ้ำ ๆ
      เหตุขัดข้องทั่วโลกของ ClownStrike เมื่อเร็ว ๆ นี้แสดงให้เห็นถึงการทดสอบก่อนปล่อยที่ไม่เพียงพอ และปัญหาของ Microsoft ครั้งนี้ก็แสดงให้เห็นว่าเรื่องเดียวกันเกิดขึ้นแม้แต่ฝั่งต้นทางของ Windows
      ดูไม่ดีเลย
    • อยากรู้ว่านี่เป็นเรื่องจาก ภายใน Microsoft หรือเป็นประสบการณ์จากมุมลูกค้า
  • จุดที่เจ็บคือผลิตภัณฑ์ที่ได้รับผลกระทบรวมถึง Microsoft Entra, Sentinel, Defender for Cloud, Purview
    Entra หรือ Azure Active Directory เดิม ได้รับผลกระทบนี่ค่อนข้างร้ายแรง
    แต่ใครจะต้องการ log ของ SSO กันล่ะ?

    • เคยมีช่วงเวลาที่มองท้องฟ้าแล้วไม่คิดว่าอุกกาบาตจะตกใส่โลก
      ไม่รู้ก็สบายใจกว่า
      เสริมอีกนิด เห็นคำว่า Entra แล้วนึกว่า Encarta เลยตื่นเต้นอยู่แวบหนึ่งว่าอาจยังมีอยู่
    • ให้ตายเถอะ Microsoft ควรเลือกชื่อสักชื่อแล้วใช้ต่อไป
      Azure Active Directory ก็ไม่ใช่ชื่อที่ยอดเยี่ยม แต่การรีแบรนด์ทุกอย่างไปเรื่อย ๆ มันเหนื่อยเกินไป
    • ในภาษาสเปน entra แปลว่า “เข้ามา/เข้าไปข้างใน” เลยเอามาเล่นมุกได้ง่าย
    • เราต้องใช้มัน เรามี ข้อผูกพันด้าน compliance
      โชคดีที่ระบบโปรดักชันไม่ได้ผสานกับ Entra และมีแค่สิ่งที่ไม่เกี่ยวกับลูกค้าเท่านั้นที่เชื่อมอยู่
    • ถ้าไม่มี log ก็ไม่มีการถูกเจาะ
  • สงสัยว่าเรื่องนี้ไปช่วย ปฏิบัติการของหน่วยข่าวกรอง แบบไหนบ้าง

    • เราเรียกมันว่า APT -1 หรือก็คือ Microsoft
    • ไม่มีอะไรหรอก โครงสร้างพื้นฐาน logging ภายในของ Microsoft เป็นของยุค 90
  • อย่าลืมบทความยาวชิ้นนี้ที่ออกมาเมื่อหนึ่งเดือนเศษก่อนด้วย
    เป็นบทความที่รวบรวมประเด็นว่า Microsoft ล้มเหลวด้านความมั่นคงปลอดภัยไซเบอร์ในต่างประเทศ และมีพฤติการณ์เหมือนจงใจปล่อยปละละเลย
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • ในอีกด้านหนึ่ง รายงานนี้มีเนื้อหาสำคัญอยู่
      แต่อีกด้านหนึ่ง Schiller ก็ไม่ได้ดูเป็นพยานที่น่าเชื่อถืออย่างสมบูรณ์ และการที่ผู้ที่เขาขอให้กำกับดูแลดูเหมือนจะจำกัดอยู่แค่ ส.ส. รีพับลิกันสาย MAGA สุดโต่ง ก็สื่อความหมายบางอย่าง
      ถึงอย่างนั้น ผมเห็นด้วย 100% ว่า 1) ไม่ควรพึ่งพาบุคลากรสนับสนุนสัญชาติต่างประเทศในการสนับสนุนโครงสร้างพื้นฐานสำคัญของรัฐบาลสหรัฐฯ และ 2) บริษัทเทคโนโลยีรายใหญ่ทั้งหมด รวมถึง hyperscaler ต่างทำข้อตกลงกับ เขตอำนาจของรัฐบาลจีน ผ่านตัวแทนธุรกิจในประเทศอย่าง Tencent, Alicloud เพื่อทำธุรกิจในจีน
      ยังมีการกำกับดูแลไม่เพียงพอต่อสัญญาเหล่านี้ และต่อเงื่อนไขที่เปิดให้บุคลากรฝั่งจีนเข้าถึงสแตกฮาร์ดแวร์และซอฟต์แวร์ได้โดยตรง
  • ทำไมถึงยอมรับเรื่องนี้ต่อสาธารณะ?

    • เพราะถูก จับได้ ว่าซ่อนรายงานไว้ในเครื่องมือที่ทีมความปลอดภัยส่วนใหญ่เข้าถึงไม่ได้
    • อาจเป็นการปูพื้นไว้ล่วงหน้า เพื่อเวลาต้องยอมรับว่าผู้กระทำการต่างชาติเป็นคนลบ log จะได้ไม่ดูเป็นข่าวใหญ่เกินไป
      เป็นวิธีที่ MSFT ใช้บ่อยเวลา จัดการเรื่องแบบนี้
  • Azure ห่วย
    โดยเฉพาะ Batch Service ตัวจัดตารางงานไม่แม่นเลย

  • แม้แต่ที่ที่มีโครงสร้างพื้นฐานแย่ที่สุดและแนวปฏิบัติการปฏิบัติการน่ากลัวที่สุดที่เคยเห็น ก็ยังมีมาตรการซับซ้อนที่ทำให้เรื่องแบบนี้แทบเป็นไปไม่ได้
    เพราะถ้าเกิดเรื่องแบบนี้ขึ้น มันร้ายแรงจริง ๆ
    ก่อนเหตุการณ์นี้ ผมก็คงไม่อยากเอาธุรกิจของตัวเองไปวางบน โครงสร้างพื้นฐานคลาวด์แบบ managed ของ Azure อยู่แล้ว
    ต่อให้พยายามคิดเป็น thought experiment ว่าเรื่องแบบนี้เกิดขึ้นได้อย่างไรโดยไม่มีความผิดพลาดร้ายแรงของทั้งระบบ ก็ยังนึกภาพไม่ค่อยออก

  • เคยมีคอมเมนต์ที่นี่บอกว่า msft เป็นมิตรกับองค์กรกว่า Google
    เหตุผลคือไม่ทำข้อมูลหาย แต่ msft อยู่คนละฝั่งกับ ความน่าเชื่อถือ เลย

  • มีกลิ่นปกปิด
    เหมือนกับว่า “ช่องโหว่ในแพลตฟอร์มของเราโผล่อยู่ใน syslog ของลูกค้า!” “เร็วเข้า ทุกคน ทำ log หายแล้วซื้อเวลาเพิ่มกันเถอะ”