誤報觸發大規模鎖定
多家機構的Windows管理員報告稱,微軟Entra ID新推出的"MACE"(泄露憑證檢測應用)功能在部署過程中產生大量誤報,導致用戶賬戶被大規模鎖定。這些警報和鎖定始于昨夜,部分管理員認為屬于誤報,因為這些賬戶使用的都是獨立密碼,未在其他任何網站或應用中使用過。
微軟Entra ID(原Azure Active Directory)是一項基于云的身份和訪問管理服務,可幫助企業管理用戶身份并保護資源訪問安全。
虛假泄露警報爆發
今日凌晨Reddit論壇的討論帖顯示,Windows管理員們反映收到大量Entra警報,提示其部分用戶賬戶的憑證已在暗網或其他位置泄露。這些賬戶隨即被自動鎖定,每家企業都有大量用戶受到影響。
一位管理員在Reddit上表示:"我們也中招了...約1/3的賬戶在一小時前被鎖定。我們是MSP(托管服務提供商),估計客戶也遭遇了同樣情況。"被鎖定的賬戶既未出現可疑登錄等入侵跡象,又都啟用了多因素認證(MFA)。此外,Have I Been Pwned(HIBP)等數據泄露通知服務也未發現相關賬戶信息。
Reddit另一則報告進一步證實了事件的廣泛性:某MDR(托管檢測與響應)服務商表示,一夜之間收到微軟發送的超2萬條關于不同客戶憑證泄露的通知。
MACE功能部署問題
雖然微軟尚未公開確認鎖定原因,但已向受影響機構透露,問題源于新企業應用"MACE憑證撤銷"(MACE Credential Revocation)的部署故障。一位管理員在Reddit上反饋:"剛與工程師溝通完畢,確認是MACE功能靜默部署導致的租戶鎖定,無入侵跡象。工程師需要1小時將工單類型從'入侵'轉為'鎖定',現在可以松口氣了。相關錯誤代碼為53003(條件訪問策略)。"
多名用戶證實,在開始收到警報前,該應用被突然添加至其租戶環境。MACE憑證撤銷應用是微軟Entra的一項功能,用于檢測泄露憑證并鎖定可能遭入侵的賬戶。
建議處理措施
盡管所有關于憑證泄露的警報都應進行調查以確認賬戶安全性,但若短時間內收到大量警報,很可能是此次功能部署所致。
)
)
