誤報觸發(fā)大規(guī)模鎖定

多家機構(gòu)的Windows管理員報告稱，微軟Entra ID新推出的"MACE"（泄露憑證檢測應用）功能在部署過程中產(chǎn)生大量誤報，導致用戶賬戶被大規(guī)模鎖定。這些警報和鎖定始于昨夜，部分管理員認為屬于誤報，因為這些賬戶使用的都是獨立密碼，未在其他任何網(wǎng)站或應用中使用過。

微軟Entra ID（原Azure Active Directory）是一項基于云的身份和訪問管理服務，可幫助企業(yè)管理用戶身份并保護資源訪問安全。

虛假泄露警報爆發(fā)

今日凌晨Reddit論壇的討論帖顯示，Windows管理員們反映收到大量Entra警報，提示其部分用戶賬戶的憑證已在暗網(wǎng)或其他位置泄露。這些賬戶隨即被自動鎖定，每家企業(yè)都有大量用戶受到影響。

一位管理員在Reddit上表示："我們也中招了...約1/3的賬戶在一小時前被鎖定。我們是MSP（托管服務提供商），估計客戶也遭遇了同樣情況。"被鎖定的賬戶既未出現(xiàn)可疑登錄等入侵跡象，又都啟用了多因素認證（MFA）。此外，Have I Been Pwned（HIBP）等數(shù)據(jù)泄露通知服務也未發(fā)現(xiàn)相關(guān)賬戶信息。

Reddit另一則報告進一步證實了事件的廣泛性：某MDR（托管檢測與響應）服務商表示，一夜之間收到微軟發(fā)送的超2萬條關(guān)于不同客戶憑證泄露的通知。

MACE功能部署問題

雖然微軟尚未公開確認鎖定原因，但已向受影響機構(gòu)透露，問題源于新企業(yè)應用"MACE憑證撤銷"（MACE Credential Revocation）的部署故障。一位管理員在Reddit上反饋："剛與工程師溝通完畢，確認是MACE功能靜默部署導致的租戶鎖定，無入侵跡象。工程師需要1小時將工單類型從'入侵'轉(zhuǎn)為'鎖定'，現(xiàn)在可以松口氣了。相關(guān)錯誤代碼為53003（條件訪問策略）。"

多名用戶證實，在開始收到警報前，該應用被突然添加至其租戶環(huán)境。MACE憑證撤銷應用是微軟Entra的一項功能，用于檢測泄露憑證并鎖定可能遭入侵的賬戶。

建議處理措施

盡管所有關(guān)于憑證泄露的警報都應進行調(diào)查以確認賬戶安全性，但若短時間內(nèi)收到大量警報，很可能是此次功能部署所致。BleepingComputer已就此事聯(lián)系微軟，但截至發(fā)稿尚未獲得回應。