Microsoft avertit qu'il a perdu les journaux de sécurité de ses clients pendant un mois

Microsoft Corp. a résolu un bug logiciel qui a conduit l’entreprise à perdre certains journaux de sécurité pendant plusieurs semaines en septembre.

Dans une déclaration à TechCrunch, le géant de Redmond a confirmé qu’il avait atténué le problème du bug en annulant un changement de service et qu’il notifiait tous ses clients concernés.

« Nous avons atténué le problème en annulant un changement de service. Nous avons communiqué à tous les clients concernés et fournirons un support si nécessaire », a déclaré John Sheehan, vice-président d’entreprise chez Microsoft, dans une déclaration à TechCrunch.

Selon un cadre de Microsoft, le problème a été causé par un bug opérationnel au sein de l’agent de surveillance interne de l’entreprise, qui les empêchait de télécharger les données de journal sur la plateforme de journalisation interne de l’entreprise.

Pour ceux qui ne le savent pas, ce problème a été signalé pour la première fois par Business Insider plus tôt ce mois-ci. L’article indiquait que Microsoft notifiait apparemment ses clients qu’il avait échoué à collecter de manière cohérente les données de journal pour plusieurs produits de sécurité clés pendant presque un mois, ce qui pourrait affecter la capacité des clients à détecter des menaces et à générer des alertes de sécurité.

Entre le 2 septembre et le 19 septembre, « un bug dans l’un des agents de surveillance internes de Microsoft a entraîné un dysfonctionnement de certains des agents lors du téléchargement des données de journal sur notre plateforme de journalisation interne », a écrit Microsoft dans la notification envoyée à ses clients concernés.

Les journaux sont des enregistrements importants d’événements au sein d’un système, tels que les tentatives de connexion sur un réseau, l’accès aux objets et la suppression de fichiers.

Ils peuvent aider les défenseurs du réseau à identifier des intrusions suspectes. Cependant, il est difficile d’identifier et de suivre les problèmes sans un enregistrement approprié des journaux, ce qui pourrait conduire à manquer des instances potentielles d’intrusion.

« Ce problème n’a pas affecté le temps de disponibilité de services ou de ressources destinés aux clients — il a seulement affecté la collecte des événements de journal. De plus, ce problème n’est pas lié à une quelconque compromission de sécurité », a expliqué la notification.

Les produits concernés incluent Microsoft Entra, un service de gestion des identités ; Microsoft Sentinel, un produit de gestion des informations et des événements de sécurité ; Microsoft Defender for Cloud et Microsoft Purview, un produit de prévention des pertes de données.

« Les clients de Microsoft Sentinel ont pu connaître des lacunes potentielles dans les journaux ou événements liés à la sécurité, affectant possiblement la capacité des clients à analyser les données, détecter des menaces ou générer des alertes de sécurité », a averti la notification.

Pour plus d’informations, vous pouvez consulter le Rapport préliminaire sur l’incident (PIR) qui a été envoyé aux clients concernés.

Selon Microsoft, l’échec de la journalisation a été causé par un bug introduit accidentellement lors de la résolution d’un problème distinct dans le service de collecte de journaux de l’entreprise.

L’entreprise a expliqué que bien qu’elle ait suivi des pratiques de déploiement sûres lors de la correction du bug, elle n’a pas pu détecter le nouveau problème immédiatement.

En conséquence, il leur a fallu quelques jours pour identifier le problème.