0
0
Microsoft는 일부 클라우드 제품에 대해 2주 이상의 보안 로그가 누락되어 네트워크 방어자가 잠재적인 침입을 탐지할 수 있는 중요한 데이터가 없음을 고객에게 알렸습니다.
영향을 받은 고객들에게 보낸 알림에 따르면, 마이크로소프트는 2일부터 9월 19일 사이에 “마이크로소프트 내부 모니터링 에이전트 중 하나의 버그로 인해 우리 내부 로깅 플랫폼에 로깅 데이터를 업로드할 때 일부 에이전트가 오작동을 일으켰다”고 밝혔습니다.
알림에는 로깅 중단이 보안 사고로 인한 것이 아니며 “로깅 이벤트 수집에만 영향을 미쳤다”고 적혀 있었습니다.
기업 내부자들은 10월 초 등록 데이터 손실을 처음으로 보고했습니다. 통지 내용은 널리 공개되지 않았습니다. 보안 연구원 Kevin Beaumont가 지적했듯이 Microsoft가 영향을 받는 회사에 보낸 알림은 테넌트 관리자 권한이 있는 소수의 사용자만 액세스할 수 있을 가능성이 높습니다.
로깅은 사용자 로그인 및 실패한 시도에 대한 정보와 같은 제품 내 이벤트를 추적하는 데 도움이 되며, 이는 네트워크 방어자가 의심스러운 침입을 식별하는 데 도움이 될 수 있습니다. 로그가 누락되면 2주 동안 고객 네트워크에 대한 무단 액세스를 식별하기가 더 어려워질 수 있습니다.
Business Insider 보고서에 따르면 영향을 받는 제품에는 Microsoft Entra, Sentinel, Defender for Cloud 및 Purview가 포함됩니다. 영향을 받은 고객은 “잠재적인 로그 공백이나 보안 관련 이벤트를 경험했을 수 있으며, 이로 인해 고객의 데이터 분석, 위협 감지 또는 보안 경고 생성 능력에 영향을 미칠 수 있습니다”라고 알림이 밝혔습니다.
마이크로소프트는 로그 중단에 대한 구체적인 질문에 답변하지 않았지만 마이크로소프트 임원은 테크크런치에 이번 사건이 “내부 모니터링 에이전트 내의 운영 오류”로 인해 발생했다고 확인했다.
“우리는 서비스 변경을 취소하여 문제를 완화했습니다. Microsoft의 부사장인 John Sheehan은 “우리는 영향을 받은 모든 고객에게 연락했으며 필요에 따라 지원을 제공할 것입니다.”라고 말했습니다.
로그 중단은 Microsoft가 회사의 정부 전용 클라우드에서 이메일을 호스팅하는 특정 미국 연방 정부 부서의 보안 로그를 보류했다는 이유로 연방 조사관으로부터 비난을 받은 지 1년 후에 발생했습니다. 연구원들은 이러한 기록에 접근할 수 있었다면 중국이 지원하는 일련의 침입을 훨씬 더 일찍 식별할 수 있었을 것이라고 말했습니다.
Storm-0558로 알려진 중국의 지원을 받는 침입자는 Microsoft 네트워크에 침입하여 해커가 Microsoft 클라우드에 저장된 미국 정부 이메일에 무제한 액세스할 수 있도록 허용하는 디지털 키를 훔쳤습니다. 정부가 발행한 사이버 공격 부검에 따르면 국무부는 해킹된 다른 많은 미국 정부 기관에는 없는 클라우드 제품의 보안 로그에 대한 액세스를 허용하는 더 높은 수준의 Microsoft 라이선스 비용을 지불했기 때문에 침입을 식별했습니다. .
중국의 지원을 받은 공격 이후 마이크로소프트는 2023년 9월부터 가장 저렴한 클라우드 계정에 로그를 제공하기 시작할 것이라고 밝혔습니다.
Carly Page가 보고에 기고했습니다.
(이것은 신디케이트된 뉴스피드에서 편집되지 않은 자동 생성된 기사입니다. 파이에듀뉴스 직원이 콘텐츠 텍스트를 변경하거나 편집하지 않았을 수 있습니다.)
