„Windows“ administratoriai iš daugybės organizacijų praneša, kad plačiai paplitusios sąskaitos lokautai, kuriuos sukelia klaidingi teigiami dalykai, įdiegus naują „Microsoft Entra ID“ „nutekėjusių kredencialų“ aptikimo programą, vadinamą MACE.
Šie perspėjimai ir lokautai prasidėjo praėjusią naktį, kai kurie administratoriai tikėjo, kad jie yra klaidingi, nes sąskaitos turi unikalius slaptažodžius, kurie nenaudojami jokiose kitose svetainėse ar programose.
„Microsoft Entra ID“, buvusi „Azure Active Directory“, yra debesies tapatybės ir prieigos valdymo paslauga, padedanti organizacijoms valdyti vartotojo tapatybes ir užsitikrinti prieigą prie išteklių.
„Reddit“ gijoje, paskelbtoje anksti šį rytą, „Windows“ administratoriai pranešė, kad iš ENTRA gauna kelis įspėjimus, nurodančius, kad kai kurios jų vartotojų abonementai buvo rasti su kredencialais, nutekėjusiais į tamsųjį internetą ar kitas vietas.
Šios sąskaitos buvo automatiškai užrakintos iš nuomininko, o daugybė vartotojų paveikė vienai organizacijai.
„Mes taip pat … maždaug 1/3 mūsų sąskaitų buvo užrakintos maždaug prieš ~ 1 valandą. Mes esame JEP, todėl manau, kad taip nutinka ir mūsų klientams”, – paskelbė „Reddit“ administratorius.
Užrakintos sąskaitos neparodė jokių kompromisų požymių, tokių kaip įtartini ženklai, ir buvo apsaugotos MFA. Be to, pažeidimo pranešimų paslaugos, tokios kaip „Aš buvau pwistas“ (HIBP), neturėjo šių sąskaitų atitikmenų.
Kita „Reddit“ ataskaita dar labiau patvirtino, kad tai buvo plačiai paplitusi, kai MDR teikėjas teigė, kad per naktį jie gavo daugiau nei 20 000 pranešimų iš „Microsoft“ dėl skirtingų klientų nutekėjusių kredencialų
Nors „Microsoft“ viešai nepatvirtino šių lokautų priežasties, „Microsoft“ sakė vienai iš paveiktų organizacijų, kad tai sukėlė problema, kai buvo įdiegta nauja įmonės programa, pavadinta „Mace Credencial Remocation“.
„Ką tik pasitraukė su inžinieriumi. Dėl šio„ Mace Ninja “diegimo jie padarė nuomininko lokautą. Jokių kompromisų požymių. Jam reikia valandos, kad būtų galima paversti bilietą iš kompromiso į lokautą, tačiau gali įkvėpti palengvėjimo atodūsį. Tai buvo klaidos kodas: 53003 dėl sąlyginės prieigos politikos”, – pranešė administratorius „Reddit“.
Keli žmonės patvirtino, kad ši paraiška buvo įtraukta į nuomininkus prieš pat pradėdami gauti įspėjimus.
MACE kredencialo atšaukimo programa yra „Microsoft Entra“ funkcija, naudojama aptikti nutekėjusius kredencialus ir lokautą, potencialiai pažeistas paskyras.
Nors turėtų būti ištirti visi nutekėjusių įgaliojimų perspėjimai, siekiant patvirtinti, kad sąskaita nebuvo pažeista, jei iš karto gavote perspėjimų pliūpsnį, šis greičiausiai sukėlė.
„Bleepingcomputer“ susisiekė su „Microsoft“ klausimais apie šį įvykį, tačiau šiuo metu negavo atsakymo.
