Microsoft is door een bug weken aan beveiligingslogs van klanten verloren, zo heeft techbedrijf laten weten. De logbestanden kunnen een belangrijke rol spelen bij het detecteren van aanvallen of de aanwezigheid van aanvallers op een netwerk. De bug, die op 2 september door Microsoft werd geintroduceerd, zorgde ervoor dat er geen logdata naar het interne loggingplatform van het techbedrijf werd verstuurd.

Het gaat om sign-in logs en activiteitslogs van Microsoft Entra, platformlogs van Azure Logic Apps en Azure Healthcare API's, incomplete beveiligingswaarschuwingen van Microsoft Sentinel. onvolledige SignTransaction en SignHistory logs van Azure Trusted Signing, onvolledige logs in Application Insights van Azure Virtual Desktop en 'datadiscrepanties' in rapportages van Microsofts Power Platform.

Nadat de bug zich op 2 september voordeed startte Microsoft op 6 september een onderzoek. Op 18 september werd duidelijk dat het probleem groter was dan het techbedrijf in eerste instantie dacht. Uiteindelijk werd het probleem op 30 september volledig verholpen. Microsoft meldde het probleem in het Microsoft 365 portal, maar volgens beveiligingsonderzoeker Kevin Beaumont zijn er adminrechten nodig om hier toegang tot te krijgen en zullen securityteams de melding daardoor hebben gemist. De onderzoeker zegt met twee Microsoft-klanten bekend te zijn die niet via de portal werden ingelicht. Microsoft laat aan TechCrunch weten dat alle getroffen klanten zijn ingelicht en waar nodig worden geholpen.

Microsoft kwam recentelijk nog onder vuur te liggen vanwege de toegang tot logbestanden. Vorig juli werd bekend dat aanvallers hadden ingebroken op de Exchange Online-omgeving van het techbedrijf, waarbij tienduizenden e-mails werden gestolen. De Amerikaanse overheid kwam vervolgens met het advies aan organisaties om hun Exchange Online-omgeving te monitoren. Misbruik zou alleen aan de hand van een bepaald item in de logbestanden zijn te detecteren.

Deze optie was echter alleen beschikbaar voor klanten die van een Enterprise E5-licentie gebruikmaken. Dit zorgde voor felle kritiek van beveiligingsonderzoekers en de Amerikaanse overheid, die stellen dat alle klanten toegang tot dergelijke logs moeten hebben. Na de kritiek besloot Microsoft logs voor Exchange Online en andere Microsoft 365-diensten zonder extra kosten beschikbaar te maken.