微软Entra新安全功能引发大规模账户锁定事件

误报触发大规模锁定

多家机构的Windows管理员报告称,微软Entra ID新推出的"MACE"(泄露凭证检测应用)功能在部署过程中产生大量误报,导致用户账户被大规模锁定。这些警报和锁定始于昨夜,部分管理员认为属于误报,因为这些账户使用的都是独立密码,未在其他任何网站或应用中使用过。

微软Entra ID(原Azure Active Directory)是一项基于云的身份和访问管理服务,可帮助企业管理用户身份并保护资源访问安全。

虚假泄露警报爆发

今日凌晨Reddit论坛的讨论帖显示,Windows管理员们反映收到大量Entra警报,提示其部分用户账户的凭证已在暗网或其他位置泄露。这些账户随即被自动锁定,每家企业都有大量用户受到影响。

一位管理员在Reddit上表示:"我们也中招了...约1/3的账户在一小时前被锁定。我们是MSP(托管服务提供商),估计客户也遭遇了同样情况。"被锁定的账户既未出现可疑登录等入侵迹象,又都启用了多因素认证(MFA)。此外,Have I Been Pwned(HIBP)等数据泄露通知服务也未发现相关账户信息。

Reddit另一则报告进一步证实了事件的广泛性:某MDR(托管检测与响应)服务商表示,一夜之间收到微软发送的超2万条关于不同客户凭证泄露的通知。

MACE功能部署问题

虽然微软尚未公开确认锁定原因,但已向受影响机构透露,问题源于新企业应用"MACE凭证撤销"(MACE Credential Revocation)的部署故障。一位管理员在Reddit上反馈:"刚与工程师沟通完毕,确认是MACE功能静默部署导致的租户锁定,无入侵迹象。工程师需要1小时将工单类型从'入侵'转为'锁定',现在可以松口气了。相关错误代码为53003(条件访问策略)。"

多名用户证实,在开始收到警报前,该应用被突然添加至其租户环境。MACE凭证撤销应用是微软Entra的一项功能,用于检测泄露凭证并锁定可能遭入侵的账户。

建议处理措施

尽管所有关于凭证泄露的警报都应进行调查以确认账户安全性,但若短时间内收到大量警报,很可能是此次功能部署所致。

相关推荐
中科岩创9 分钟前
宁波某大学高支模施工安全监测实训模型应用
科技·物联网·安全·自动化
项目经理老王1 小时前
OpenClaw无捆绑安装包,安全纯净版AI助手部署
人工智能·安全
小李@Free2FA7 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
云祺vinchin8 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung59 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
anbingsoft1210 小时前
企业加密软件软件有哪些?企业加密软件:让设计图纸安全无忧,年度热销
网络·安全·电脑
每日新鲜事10 小时前
鲸蕾文化及进昂发布互动电影新作 《双生》亮相韩国富川电影节
microsoft
一楼的猫11 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学12 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Kyrie67812 小时前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm