誤報(bào)觸發(fā)大規(guī)模鎖定

多家機(jī)構(gòu)的Windows管理員報(bào)告稱，微軟Entra ID新推出的"MACE"（泄露憑證檢測(cè)應(yīng)用）功能在部署過程中產(chǎn)生大量誤報(bào)，導(dǎo)致用戶賬戶被大規(guī)模鎖定。這些警報(bào)和鎖定始于昨夜，部分管理員認(rèn)為屬于誤報(bào)，因?yàn)檫@些賬戶使用的都是獨(dú)立密碼，未在其他任何網(wǎng)站或應(yīng)用中使用過。

微軟Entra ID（原Azure Active Directory）是一項(xiàng)基于云的身份和訪問管理服務(wù)，可幫助企業(yè)管理用戶身份并保護(hù)資源訪問安全。

虛假泄露警報(bào)爆發(fā)

今日凌晨Reddit論壇的討論帖顯示，Windows管理員們反映收到大量Entra警報(bào)，提示其部分用戶賬戶的憑證已在暗網(wǎng)或其他位置泄露。這些賬戶隨即被自動(dòng)鎖定，每家企業(yè)都有大量用戶受到影響。

一位管理員在Reddit上表示："我們也中招了...約1/3的賬戶在一小時(shí)前被鎖定。我們是MSP（托管服務(wù)提供商），估計(jì)客戶也遭遇了同樣情況。"被鎖定的賬戶既未出現(xiàn)可疑登錄等入侵跡象，又都啟用了多因素認(rèn)證（MFA）。此外，Have I Been Pwned（HIBP）等數(shù)據(jù)泄露通知服務(wù)也未發(fā)現(xiàn)相關(guān)賬戶信息。

Reddit另一則報(bào)告進(jìn)一步證實(shí)了事件的廣泛性：某MDR（托管檢測(cè)與響應(yīng)）服務(wù)商表示，一夜之間收到微軟發(fā)送的超2萬條關(guān)于不同客戶憑證泄露的通知。

MACE功能部署問題

雖然微軟尚未公開確認(rèn)鎖定原因，但已向受影響機(jī)構(gòu)透露，問題源于新企業(yè)應(yīng)用"MACE憑證撤銷"（MACE Credential Revocation）的部署故障。一位管理員在Reddit上反饋："剛與工程師溝通完畢，確認(rèn)是MACE功能靜默部署導(dǎo)致的租戶鎖定，無入侵跡象。工程師需要1小時(shí)將工單類型從'入侵'轉(zhuǎn)為'鎖定'，現(xiàn)在可以松口氣了。相關(guān)錯(cuò)誤代碼為53003（條件訪問策略）。"

多名用戶證實(shí)，在開始收到警報(bào)前，該應(yīng)用被突然添加至其租戶環(huán)境。MACE憑證撤銷應(yīng)用是微軟Entra的一項(xiàng)功能，用于檢測(cè)泄露憑證并鎖定可能遭入侵的賬戶。

建議處理措施

盡管所有關(guān)于憑證泄露的警報(bào)都應(yīng)進(jìn)行調(diào)查以確認(rèn)賬戶安全性，但若短時(shí)間內(nèi)收到大量警報(bào)，很可能是此次功能部署所致。BleepingComputer已就此事聯(lián)系微軟，但截至發(fā)稿尚未獲得回應(yīng)。