Microsoft hat IT-Sicherheit an erste Stelle gesetzt, nachdem es in jüngerer Vergangenheit zu großen Unfällen in dem Bereich kam. Anfang bis Mitte September gab es erneut einen Sicherheitszwischenfall: Protokolldaten sind den Redmondern verloren gegangen, die für IT-Sicherheitsprüfungen eigentlich wichtig wären. Den Fehler sind die IT-Spezialisten von Microsoft angegangen, er soll sich nicht mehr auswirken.
Anzeige
Eine Analyse hat Microsoft im Microsoft-365-Message-Center veröffentlicht (hier findet sich eine Kopie im öffentlichen Netz davon). Die kurze Zusammenfassung des Problems lautet: "Teilweise unvollständige Protokolldaten aufgrund Problemen mit dem Monitoring Agent". Am 2. September hat ein Fehler in Microsofts internen Monitoring-Agents zur Fehlfunktion einiger Agents beim Hochladen von Protokolldaten zur internen Logging-Plattform, erörtert Microsoft. Das habe zu teilweise unvollständigen Protokolldateien für betroffene Microsoft-Dienste geführt.
Microsoft betont, dass das Problem die Uptime keiner Systeme oder Ressourcen betroffen habe, die Kunden nutzten. Ausschließlich die Log-Sammlung sei betroffen gewesen, und das stünde auch in keinem Zusammenhang zu etwaigen IT-Sicherheitskompomittierungen. Am 5. September sei das Problem schließlich aufgefallen. Nach der Untersuchung der Fehler hat Microsoft temporäre Gegenmaßnahmen eingeführt. Die Agents und Server wurden regelmäßig neu gestartet, um den Logging-Prozess ebenfalls neu anzustoßen. Als Ergebnis seien erheblich vollständigere Protokolldaten gesammelt worden. Einige Kunden haben dadurch jedoch erhöhte Latenzen oder Verzögerungen spüren können.
Ursache war eine Änderung, die eine Begrenzung im Logging-Dienst ändern sollte. Die führte aber dazu, dass Deadlocks aufgetreten sind, wenn Agents angewiesen wurden, den Telemetrie-Upload-Endpunkt in schneller Folge zu ändern, während eine Übertragung zum initialen Endpunkt noch auf dem Weg war. Dies führte zu einem allmählichen Deadlock in der Dispatching-Komponente, der den Agent schließlich hinderte, Telemetriedaten hochzuladen. Das habe lediglich den Agent betroffen, andere Komponenten liefen korrekt weiter, darunter auch das Sammeln und Ablegen von Daten in den lokalen dauerhaften Cache. Ein Neustart des Agents oder Betriebssystems löst diesen Deadlock und der Agent überträgt die Daten aus dem lokalen Cache beim Start. In einigen Fällen waren die protokollierten Daten jedoch größer als der Cache, wodurch die ältesten Daten überschrieben wurden. Die überschriebenen Daten sind nicht wiederherstellbar.
Schließlich haben die Entwickler den Agent aktualisiert. Die neue Version habe das Ziel, das Problem nicht mehr auftreten zu lassen, über alle betroffenen Dienste und Regionen hinweg. Es sei ein gewisser Satz an Diensten von Microsoft betroffen gewesen: Entra hat möglicherweise unvollständige Daten von Anmeldungen und Aktivitäten gesammelt, Azure Logic Apps und Healthcare APIs unvollständige Plattform-Protokolle oder Sentinel hingegen nicht vollständige Sicherheitsalarme. Weiter kam es zu vergleichbaren Logging-Aussetzern bei Azure Monitor, Trusted Signing, Virtual Desktop sowie der Power-Plattform.
Anzeige
Betroffene Kunden sollen über das Message-Center von Microsoft 365 und Dynamics 365 sowie über Azure Server Health informiert worden sein.
Microsoft sieht das Logging als wichtigen Bestandteil für die IT-Sicherheit, ebenso wie IT-Sicherheitsbehörden. Ende Februar hat das Unternehmen erweiterte Logging-Funktionen insbesondere für US-Behörden freigeschaltet, ohne dass diese dafür eine teure Microsoft-365-E5-Lizenz erstehen müssten. Sie stehen als Erweiterung von Purview Audit (Standard) bereit.
(
Kommentare