Οι διαχειριστές των Windows από πολυάριθμους οργανισμούς αναφέρουν εκτεταμένα κλείδωμα λογαριασμού που προκλήθηκαν από ψευδώς θετικά για την ανάπτυξη μιας νέας εφαρμογής ανίχνευσης της Microsoft Entra ID “Διαρροή διαπιστευτηρίων” που ονομάζεται MACE.
Αυτές οι ειδοποιήσεις και τα κλείδωμα άρχισαν χθες το βράδυ, με ορισμένους διαχειριστές να πιστεύουν ότι ήταν ψευδώς θετικά, καθώς οι λογαριασμοί έχουν μοναδικούς κωδικούς πρόσβασης που δεν χρησιμοποιούνται σε άλλους ιστότοπους ή εφαρμογές.
Η Microsoft Entra ID, πρώην Azure Active Directory, είναι μια υπηρεσία ταυτότητας και διαχείρισης πρόσβασης που βασίζεται σε σύννεφο, η οποία βοηθά τους οργανισμούς να διαχειρίζονται τις ταυτότητες των χρηστών και να εξασφαλίζουν πρόσβαση σε πόρους.
Σε ένα Νήμα Reddit Δημοσιεύτηκε νωρίς σήμερα το πρωί, οι διαχειριστές των Windows ανέφεραν ότι έλαβαν πολλαπλές ειδοποιήσεις από την Entra υποδεικνύοντας ότι ορισμένοι από τους λογαριασμούς χρηστών τους είχαν βρεθεί με διαπιστευτήρια διαρρέουν στο σκοτεινό ιστό ή σε άλλες τοποθεσίες.
Αυτοί οι λογαριασμοί ήταν αυτόματα κλειδωμένοι από τον ενοικιαστή, με πολλούς χρήστες να επηρεάζονται ανά οργανισμό.
“Εμείς επίσης … περίπου το 1/3 των λογαριασμών μας έχουν κλειδωθεί πριν από περίπου ~ 1 ώρα. Είμαστε ένα MSP, οπότε υποθέτω ότι αυτό συμβαίνει και στους πελάτες μας” Ερυθρός.
Οι κλειδωμένοι λογαριασμοί δεν έδειξαν ενδείξεις συμβιβασμού, όπως ύποπτα σημάδια, και προστατεύονταν με MFA. Επιπλέον, οι υπηρεσίες ειδοποίησης παραβίασης, όπως έχω pwned (HIBP) δεν είχαν αγώνες για αυτούς τους λογαριασμούς.
Μια άλλη αναφορά σχετικά με την Reddit επιβεβαίωσε περαιτέρω ότι αυτό ήταν ευρέως διαδεδομένη, με έναν πάροχο MDR που δηλώνει έλαβε πάνω από 20.000 ειδοποιήσεις από τη Microsoft για μια νύχτα σχετικά με διαρρέματα διαπιστευτήρια από διαφορετικούς πελάτες
Ενώ η Microsoft δεν επιβεβαίωσε δημοσίως την αιτία αυτών των αποκλεισμών, η Microsoft είπε σε έναν από τους πληγέντες οργανώσεις ότι προκλήθηκε από ένα ζήτημα με την ανάπτυξη μιας νέας εφαρμογής επιχειρήσεων που ονομάζεται “MACE Credential Recepocation”.
“Μόλις κατέβηκε με τον μηχανικό, είναι ο ενοικιαστής που οφείλεται σε αυτό το Mace Ninja Rollout που έκαναν, δεν υπάρχουν ενδείξεις συμβιβασμού, χρειάζεται μια ώρα για να μετατρέψει το εισιτήριο από συμβιβασμό σε κλείδωμα, αλλά μπορεί να αναπνέει ανακούφιση.
Πολλαπλά άτομα επιβεβαίωσαν ότι αυτή η αίτηση προστέθηκε στους ενοικιαστές πριν αρχίσουν να λαμβάνουν τις ειδοποιήσεις.
Η εφαρμογή ανάκλησης πιστοποιητικών Mace είναι μια Χαρακτηριστικό Microsoft Entra Χρησιμοποιείται για την ανίχνευση διαρροών διαπιστευτηρίων και κλειδώματος δυνητικά συμβιβασμένων λογαριασμών.
Ενώ όλες οι ειδοποιήσεις των διαρροών διαπιστευτηρίων θα πρέπει να διερευνηθούν για να επιβεβαιωθεί ότι ένας λογαριασμός δεν διακυβεύεται, εάν λάβατε μια αναταραχή ειδοποιήσεων ταυτόχρονα αυτή η ανάπτυξη πιθανότατα το προκάλεσε.
Ο BleepingComputer ήρθε σε επαφή με τη Microsoft με ερωτήσεις σχετικά με αυτό το περιστατικό, αλλά δεν έχει λάβει απάντηση αυτή τη στιγμή.
VIA: bleepingcomputer.com
