Logs De Auditoria

Uma nova investigação da equipe de pesquisa de ameaças da Sekoia.io trouxe à tona a função do campo UserAuthenticationMethod nos logs de auditoria do Microsoft 365. Este campo, que antes era uma incógnita, é na verdade um bitfield que representa diferentes métodos de autenticação, permitindo uma análise mais clara dos eventos de login na plataforma. A pesquisa revelou que valores numéricos como 16, 272 ou 33554432 correspondem a métodos específicos de autenticação, como ‘Senha na Nuvem’ e ‘Login sem Senha’. Essa descoberta é crucial para analistas de segurança, pois permite monitorar a adoção de métodos de autenticação mais seguros e identificar fraquezas nas práticas de login. A equipe da Sekoia conseguiu mapear esses métodos ao correlacionar logs do Microsoft 365 com logs de login do Microsoft Entra ID, decifrando a lógica binária por trás dos valores. A decodificação do bitfield não só fecha uma lacuna significativa na visibilidade para os respondentes a incidentes, mas também destaca a evolução contínua das tecnologias de autenticação da Microsoft, com bits ainda não mapeados indicando futuras inovações. Essa pesquisa é um chamado para que os defensores contribuam com novas descobertas, fortalecendo o entendimento coletivo sobre a telemetria de autenticação do Microsoft 365.

Uma vulnerabilidade crítica no M365 Copilot da Microsoft permitiu que usuários acessassem arquivos sensíveis sem gerar entradas adequadas nos logs de auditoria, criando riscos significativos de conformidade e segurança para organizações em todo o mundo. Descoberta em 4 de julho por Zack Korman, a falha explorou uma falha fundamental no mecanismo de registro de auditoria do Copilot. Normalmente, quando o Copilot resume um arquivo, ele gera entradas de log correspondentes. No entanto, ao instruir o Copilot a omitir links de arquivos, a funcionalidade de registro de auditoria falhava. Essa técnica de contorno é fácil de executar e pode ser acionada inadvertidamente por interações rotineiras com o Copilot, tornando-se um problema generalizado. A Microsoft classificou a vulnerabilidade como “importante”, mas não divulgou publicamente a falha nem notificou os clientes afetados, levantando preocupações sobre a transparência nas comunicações de segurança. Organizações que usaram o M365 Copilot antes de 18 de agosto devem assumir que seus logs de auditoria podem estar incompletos e realizar revisões de segurança abrangentes. A falta de notificação impede que as organizações conduzam avaliações de risco adequadas, comprometendo a integridade dos logs de auditoria exigidos por muitos frameworks de conformidade.