- ลูกค้าคลาวด์บางรายของ Microsoft ประสบช่องว่างของ ล็อกความปลอดภัยนานกว่า 2 สัปดาห์ และอาจสูญเสียข้อมูลที่จำเป็นต่อการตรวจจับการบุกรุกและการวิเคราะห์ย้อนหลัง
- ตั้งแต่วันที่ 2 กันยายนถึง 19 กันยายน บั๊กใน เอเจนต์มอนิเตอร์ภายใน ขัดขวางการอัปโหลดล็อกบางส่วน ทำให้ไม่มีข้อมูลเหลืออยู่ในแพลตฟอร์มล็อกภายใน
- Microsoft อธิบายว่าสาเหตุเป็น บั๊กด้านปฏิบัติการ ไม่ใช่เหตุการณ์ด้านความปลอดภัย และขอบเขตผลกระทบจำกัดอยู่ที่ “การเก็บรวบรวมเหตุการณ์ล็อก”
- ผลิตภัณฑ์ที่ได้รับผลกระทบรวมถึง Microsoft Entra, Sentinel, Defender for Cloud, Purview ซึ่งอาจทำให้เกิดช่องว่างในการวิเคราะห์ข้อมูล การตรวจจับภัยคุกคาม และการสร้างการแจ้งเตือนด้านความปลอดภัยของลูกค้า
- หลังเหตุการณ์บุกรุกที่เชื่อมโยงกับจีนในปี 2023 Microsoft เคยระบุว่าจะขยายการให้ล็อกไปยังแพ็กเกจราคาต่ำด้วย ทำให้ ความเข้าถึงได้และความน่าเชื่อถือในการเก็บรักษา ของล็อกความปลอดภัยบนคลาวด์กลับมาเป็นประเด็นอีกครั้ง
ล็อกความปลอดภัยคลาวด์ของ Microsoft หายไป
- Microsoft แจ้งลูกค้าผลิตภัณฑ์คลาวด์บางรายว่า ล็อกความปลอดภัยหายไปนานกว่า 2 สัปดาห์
- ช่วงเวลาที่หายไปคือตั้งแต่วันที่ 2 กันยายนถึง 19 กันยายน
- ในการแจ้งลูกค้า ระบุว่าเอเจนต์มอนิเตอร์ภายในบางส่วนของ Microsoft ทำงานผิดพลาดระหว่างอัปโหลดข้อมูลล็อกไปยังแพลตฟอร์มล็อกภายใน
- ความขัดข้องด้านล็อกดังกล่าว ไม่ได้เกิดจากเหตุการณ์ด้านความปลอดภัย และ Microsoft อธิบายว่าผลกระทบมีเฉพาะ “การเก็บรวบรวมเหตุการณ์ล็อก” เท่านั้น
- การทำล็อกเป็นฟังก์ชันสำหรับติดตามเหตุการณ์ในผลิตภัณฑ์ และอาจรวมข้อมูลอย่างรายละเอียดการเข้าสู่ระบบของผู้ใช้และความพยายามที่ล้มเหลว
- หากไม่มีล็อก อาจทำให้ระบุ การเข้าถึงโดยไม่ได้รับอนุญาต ต่อเครือข่ายของลูกค้าในช่วงเวลาดังกล่าวได้ยากขึ้น
- Business Insider รายงานเรื่องการสูญหายของข้อมูลล็อกเป็นรายแรกในช่วงต้นเดือนตุลาคม
- นักวิจัยด้านความปลอดภัย Kevin Beaumont มองว่าการแจ้งเตือนที่ Microsoft ส่งให้บริษัทที่ได้รับผลกระทบนั้นมีแนวโน้มจะมองเห็นได้เฉพาะผู้ใช้จำนวนน้อยที่มีสิทธิ์ผู้ดูแลเทนแนนต์
ผลิตภัณฑ์ที่ได้รับผลกระทบและผลกระทบต่อลูกค้า
- ผลิตภัณฑ์ที่ได้รับผลกระทบรวมถึง Microsoft Entra, Sentinel, Defender for Cloud, Purview
- การแจ้งลูกค้าระบุว่าอาจเกิดช่องว่างที่เป็นไปได้ในล็อกหรือเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย
- ช่องว่างนี้อาจส่งผลต่อความสามารถในการวิเคราะห์ข้อมูล ตรวจจับภัยคุกคาม และสร้างการแจ้งเตือนด้านความปลอดภัย
- Microsoft ไม่ได้ตอบคำถามเฉพาะเกี่ยวกับความขัดข้องด้านล็อก แต่ John Sheehan ซึ่งเป็น corporate vice president ยืนยันสาเหตุว่าเป็น “บั๊กด้านปฏิบัติการของเอเจนต์มอนิเตอร์ภายใน”
- Microsoft ย้อนกลับการเปลี่ยนแปลงบริการเพื่อบรรเทาปัญหา
- บริษัทระบุว่าได้แจ้งลูกค้าทุกรายที่ได้รับผลกระทบแล้ว และจะให้การสนับสนุนที่จำเป็น
ปัญหาเรื่องล็อกกลับมาปะทุอีกครั้งหลังการบุกรุกที่เชื่อมโยงกับจีนในปี 2023
- ความขัดข้องครั้งนี้เกิดขึ้นหนึ่งปีหลังจาก Microsoft ถูกผู้สอบสวนของรัฐบาลกลางสหรัฐฯ วิจารณ์ว่าไม่ได้ให้ล็อกความปลอดภัยแก่หน่วยงานรัฐบาลกลางสหรัฐฯ บางแห่งในปี 2023
- ในขณะนั้นผู้สอบสวนมองว่าหากเข้าถึงล็อกดังกล่าวได้ ก็น่าจะระบุการบุกรุกที่เชื่อมโยงกับจีนได้เร็วกว่านี้มาก
- ผู้บุกรุกที่เชื่อมโยงกับจีน Storm-0558 แทรกซึมเข้าเครือข่ายของ Microsoft และขโมย “skeleton key” ดิจิทัล
- กุญแจนี้ทำให้เข้าถึงอีเมลของรัฐบาลสหรัฐฯ ที่เก็บอยู่บนคลาวด์ของ Microsoft ได้อย่างไม่จำกัด
- ตามการวิเคราะห์ย้อนหลังหลังการโจมตีทางไซเบอร์ของรัฐบาล State Department ระบุการบุกรุกได้ เพราะซื้อไลเซนส์ Microsoft ระดับสูงกว่า จึงเข้าถึงล็อกความปลอดภัยของผลิตภัณฑ์คลาวด์ได้
- หน่วยงานรัฐบาลสหรัฐฯ อื่น ๆ จำนวนมากที่ตกเป็นเหยื่อการแฮ็กไม่มีสิทธิ์เข้าถึงล็อกเดียวกัน
- หลังเหตุแฮ็กที่เชื่อมโยงกับจีน Microsoft ระบุว่าจะให้ล็อกแก่ บัญชีคลาวด์แพ็กเกจราคาต่ำ ด้วย ตั้งแต่เดือนกันยายน 2023
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ถ้าใช้ Azure ในสภาพแวดล้อมโปรดักชันจริง ๆ ผมว่าคุณต้องรับผิดชอบเอง
ต่อให้ให้เครดิตฟรีมูลค่า 100,000 ดอลลาร์ ก็คงโน้มน้าวให้ผมใช้เกินหนึ่งเดือนไม่ได้
แพง อินเทอร์เฟซก็ใช้งานยากมาก และเหนือสิ่งอื่นใด เหตุการณ์แบบนี้ทำให้ผลิตภัณฑ์ดูไม่น่าเชื่อถือพอจะฝากโหลดโปรดักชันไว้ได้
ทั้งระบบให้ความรู้สึกไม่สอดคล้องกันและเหมือนเอาชิ้นส่วนมาปะติดปะต่อ จนยากจะเชื่อว่าจะมีใครตรวจสอบความปลอดภัยได้อย่างถูกต้อง
ส่วนที่น่าหงุดหงิดที่สุดคือการล็อกอิน มีการรีไดเรกต์และข้อผิดพลาดมากจนน่าเหลือเชื่อ และดูไม่เหมือนทำงานตามที่ตั้งใจไว้
เช่น ตอนพยายามดาวน์โหลด BAA ผมติดอยู่ในลูปล็อกอินบนเว็บไซต์ที่เชื่อถือได้ แต่ในเบราว์เซอร์เดียวกันกลับเปิดคอนโซล Azure ได้ปกติ
ผมออกจากระบบบัญชี Azure เพื่อดูว่าการล็อกอินใหม่จะช่วยไหม แต่ครั้งถัดไปที่ล็อกอินกลับไม่มี การยืนยันตัวตนสองขั้นตอน ขึ้นมา
ถ้าผมออกจากระบบอย่างชัดเจนในหน้าต่างเบราว์เซอร์ นั่นก็คือการถอนความเชื่อถือในอุปกรณ์นั้น ดังนั้นการที่ไม่ทริกเกอร์การยืนยันตัวตนสองขั้นตอนจึงเป็นสัญญาณเตือนใหญ่
สุดท้ายผมก็ไม่ได้ BAA และเปิด ticket ไม่ได้ด้วย แต่แปลกที่เพื่อนร่วมงานกลับดาวน์โหลดได้ตามปกติ
ถึงจุดนั้นควรหยุดคิดสักพักได้แล้ว
เดิมทีไม่ได้เลือก Linux เพราะต้องการระบบที่เชื่อถือได้หรอกหรือ?
ผลิตภัณฑ์ “ดี” ล่าสุดที่ทำออกมาคือ SQL Server/Exchange/Windows 2000 และนั่นก็นานมากแล้ว
https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
แทบทุกทีมมีบั๊กจริงในแอปพลิเคชันที่รันบน VM และแอปนั้นถูกออกแบบให้ส่ง log ของแอปพลิเคชันเข้าไปยัง storage
ทีมของเราก็ต้องรีสตาร์ตโปรเซสเพื่อให้ log กลับมาไหลอีกครั้ง
นี่เป็น เหตุการณ์ sev 0 และเป็นความผิดพลาดที่แก้ได้ไม่ง่าย เพราะหลายทีมต้องรีสตาร์ตเอเจนต์ที่ปกติรันเงียบ ๆ อยู่เบื้องหลังด้วยมือ
เหตุขัดข้องทั่วโลกของ ClownStrike เมื่อเร็ว ๆ นี้แสดงให้เห็นถึงการทดสอบก่อนปล่อยที่ไม่เพียงพอ และปัญหาของ Microsoft ครั้งนี้ก็แสดงให้เห็นว่าเรื่องเดียวกันเกิดขึ้นแม้แต่ฝั่งต้นทางของ Windows
ดูไม่ดีเลย
จุดที่เจ็บคือผลิตภัณฑ์ที่ได้รับผลกระทบรวมถึง Microsoft Entra, Sentinel, Defender for Cloud, Purview
Entra หรือ Azure Active Directory เดิม ได้รับผลกระทบนี่ค่อนข้างร้ายแรง
แต่ใครจะต้องการ log ของ SSO กันล่ะ?
ไม่รู้ก็สบายใจกว่า
เสริมอีกนิด เห็นคำว่า Entra แล้วนึกว่า Encarta เลยตื่นเต้นอยู่แวบหนึ่งว่าอาจยังมีอยู่
Azure Active Directory ก็ไม่ใช่ชื่อที่ยอดเยี่ยม แต่การรีแบรนด์ทุกอย่างไปเรื่อย ๆ มันเหนื่อยเกินไป
โชคดีที่ระบบโปรดักชันไม่ได้ผสานกับ Entra และมีแค่สิ่งที่ไม่เกี่ยวกับลูกค้าเท่านั้นที่เชื่อมอยู่
สงสัยว่าเรื่องนี้ไปช่วย ปฏิบัติการของหน่วยข่าวกรอง แบบไหนบ้าง
อย่าลืมบทความยาวชิ้นนี้ที่ออกมาเมื่อหนึ่งเดือนเศษก่อนด้วย
เป็นบทความที่รวบรวมประเด็นว่า Microsoft ล้มเหลวด้านความมั่นคงปลอดภัยไซเบอร์ในต่างประเทศ และมีพฤติการณ์เหมือนจงใจปล่อยปละละเลย
https://www.lawenforcementtoday.com/bombshell-allegations-th...
แต่อีกด้านหนึ่ง Schiller ก็ไม่ได้ดูเป็นพยานที่น่าเชื่อถืออย่างสมบูรณ์ และการที่ผู้ที่เขาขอให้กำกับดูแลดูเหมือนจะจำกัดอยู่แค่ ส.ส. รีพับลิกันสาย MAGA สุดโต่ง ก็สื่อความหมายบางอย่าง
ถึงอย่างนั้น ผมเห็นด้วย 100% ว่า 1) ไม่ควรพึ่งพาบุคลากรสนับสนุนสัญชาติต่างประเทศในการสนับสนุนโครงสร้างพื้นฐานสำคัญของรัฐบาลสหรัฐฯ และ 2) บริษัทเทคโนโลยีรายใหญ่ทั้งหมด รวมถึง hyperscaler ต่างทำข้อตกลงกับ เขตอำนาจของรัฐบาลจีน ผ่านตัวแทนธุรกิจในประเทศอย่าง Tencent, Alicloud เพื่อทำธุรกิจในจีน
ยังมีการกำกับดูแลไม่เพียงพอต่อสัญญาเหล่านี้ และต่อเงื่อนไขที่เปิดให้บุคลากรฝั่งจีนเข้าถึงสแตกฮาร์ดแวร์และซอฟต์แวร์ได้โดยตรง
ทำไมถึงยอมรับเรื่องนี้ต่อสาธารณะ?
เป็นวิธีที่ MSFT ใช้บ่อยเวลา จัดการเรื่องแบบนี้
Azure ห่วย
โดยเฉพาะ Batch Service ตัวจัดตารางงานไม่แม่นเลย
แม้แต่ที่ที่มีโครงสร้างพื้นฐานแย่ที่สุดและแนวปฏิบัติการปฏิบัติการน่ากลัวที่สุดที่เคยเห็น ก็ยังมีมาตรการซับซ้อนที่ทำให้เรื่องแบบนี้แทบเป็นไปไม่ได้
เพราะถ้าเกิดเรื่องแบบนี้ขึ้น มันร้ายแรงจริง ๆ
ก่อนเหตุการณ์นี้ ผมก็คงไม่อยากเอาธุรกิจของตัวเองไปวางบน โครงสร้างพื้นฐานคลาวด์แบบ managed ของ Azure อยู่แล้ว
ต่อให้พยายามคิดเป็น thought experiment ว่าเรื่องแบบนี้เกิดขึ้นได้อย่างไรโดยไม่มีความผิดพลาดร้ายแรงของทั้งระบบ ก็ยังนึกภาพไม่ค่อยออก
เคยมีคอมเมนต์ที่นี่บอกว่า msft เป็นมิตรกับองค์กรกว่า Google
เหตุผลคือไม่ทำข้อมูลหาย แต่ msft อยู่คนละฝั่งกับ ความน่าเชื่อถือ เลย
มีกลิ่นปกปิด
เหมือนกับว่า “ช่องโหว่ในแพลตฟอร์มของเราโผล่อยู่ใน syslog ของลูกค้า!” “เร็วเข้า ทุกคน ทำ log หายแล้วซื้อเวลาเพิ่มกันเถอะ”