На прошлой неделе Microsoft столкнулась с проблемой в Exchange Online, из-за которой легитимные электронные письма ошибочно помещались в карантин. Причиной стали неисправные эвристические правила обнаружения, предназначенные для блокировки фишинговых кампаний, нацеленных на кражу учетных данных.
Как поясняет Microsoft в предварительном отчете по инциденту, опубликованном на этой неделе, программная ошибка в системе безопасности электронной почты ошибочно пометила тысячи легитимных URL-адресов как фишинговые ссылки почти на неделю, что препятствовало пользователям открывать электронные письма и сообщения Teams.
Инцидент, отслеживаемый Microsoft под номером EX1227432, начался 5 февраля и был полностью устранен только 12 февраля. В течение этого периода пользователи Exchange Online и Microsoft Teams не могли открывать ссылки в сообщениях, а некоторые их письма были полностью помещены в карантин.
Администраторы также получали предупреждения о “обнаруженном потенциально вредоносном клике по URL”, которые Microsoft позже подтвердила как ложные срабатывания.
Основной причиной стала логическая ошибка в системе обнаружения, предназначенной для выявления новых фишинговых атак на учетные данные. Вскоре после обновления системы она начала помечать легитимные URL-адреса гораздо чаще, чем предполагалось, что вызвало каскад автоматических ответных мер, усугубивших проблему.
Другие инструменты безопасности в инфраструктуре обнаружения Microsoft также усилили воздействие инцидента, а отдельный сбой в системах сигнатур безопасности компании еще больше замедлил усилия по откату ошибочных правил обнаружения.
“Эта проблема возникла из-за логической ошибки в эвристическом обнаружении, нацеленном на новые фишинговые кампании по краже учетных данных, которая резко возросла через несколько часов после выпуска”, — пояснила Microsoft.
“Этот всплеск обнаружения привел к тому, что тысячи URL-адресов были ошибочно идентифицированы как фишинговые, что вызвало блокировку новых электронных писем, содержащих эти URL-адреса, события ZAP для удаления писем и сообщений Teams с этими URL-адресами, а также генерацию оповещений XDR для событий кликов, связанных с этими оповещениями”.
Microsoft заявила, что любые пользователи, получившие электронные письма или сообщения Teams, содержащие определенные URL-адреса, могли быть затронуты, но компания еще не раскрыла общее количество пострадавших пользователей. Однако, как ранее сообщал BleepingComputer, Microsoft классифицировала проблему как “инцидент”, который обычно влечет за собой заметное воздействие на пользователей.
Хотя этот предварительный отчет был опубликован в понедельник, Microsoft заявила, что выпустит окончательный отчет в течение пяти рабочих дней после полного устранения проблемы.
За последние несколько лет Microsoft устранила и другие проблемы, которые приводили к помещению электронных писем в карантин или ошибочной маркировке их как спам или вредоносные. Например, ошибка в Exchange Online привела к тому, что модель машинного обучения ошибочно помечала письма из аккаунтов Gmail как спам, а другая привела к тому, что антиспам-системы ошибочно помещали в карантин письма некоторых пользователей.
Совсем недавно, в сентябре, проблема с антиспам-службой помешала пользователям Exchange Online и Microsoft Teams открывать URL-адреса и ошибочно поместила некоторые их письма в карантин.
Microsoft также работает над устранением ошибки, которая позволяла ее ИИ-инструменту Microsoft 365 Copilot Chat суммировать конфиденциальные электронные письма с конца января.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
