Administradores de Windows Muchas organizaciones informan cuentas generalizadas generalizadas desencadenadas por falsos positivos en la implementación de una nueva aplicación de detección “de información de identificación” divulgada de Microsoft Ent ID llamada MACE.
Estas alertas y bloqueos comenzaron anoche anoche, algunos administradores creían que eran falsos positivos porque las cuentas tienen contraseñas únicas que no se usan en ningún otro sitio o aplicación.
Microsoft Entrance ID, anteriormente Azure Active Directory, es un servicio de gestión de identidad y gestión de acceso que ayuda a las organizaciones a administrar las identidades de los usuarios y asegurar el acceso a los recursos.
En Alambre de reddit Publicado temprano esta mañana, los administradores de Windows dijeron que habían recibido varias alertas de ingreso que indicaban que algunas de sus cuentas de usuario se habían encontrado con información de identificación divulgada en la web oscura u otras ubicaciones.
Estas cuentas fueron bloqueadas automáticamente por el inquilino, con muchos usuarios afectados por la organización.
“Nosotros también … aproximadamente 1/3 de nuestras cuentas se bloquearon hace aproximadamente 1 hora. Somos un MSP, así que supongo que esto también le sucede a nuestros clientes”, publicó un administrador Reddit.
Las cuentas bloqueadas no mostraron ningún signo de compromiso, como letreros sospechosos, y estaban protegidos por el MFA. Además, los servicios de notificación de violación como I Funed (HIBP) no tenían correspondencia para estas cuentas.
Otro informe sobre Reddit también corroboró que esto estaba generalizado, un proveedor de MDR que declaraba que ellos recibió más de 20,000 notificaciones de Microsoft durante la noche sobre la información de identificación divulgada de diferentes clientes
Aunque Microsoft no ha confirmado públicamente la causa de estos bloqueos, Microsoft le dijo a una de las organizaciones interesadas que había sido causada por un problema con la implementación de una nueva aplicación comercial llamada “Revocación de información de identificación de MACE”.
“Simplemente fui con el ingeniero. Es el bloqueo de los inquilinos debido a este despliegue masivo ninja que hicieron. Sin signos de compromiso. Necesita una hora para convertir el boleto en el compromiso en un bloqueo, pero puede impulsar un suspiro de alivio. Fue el código de error: 53003 para la política de acceso condicional”, informó un administrador en Reddit.
Varias personas confirmaron que esta solicitud se había agregado a los inquilinos justo antes de comenzar a recibir las alertas.
La revocación de la revocación de la información de identificación de MACE es un Función de entrada de Microsoft Se utiliza para detectar información de identificación divulgada y cuentas potencialmente comprometidas.
Aunque todas las alertas de información de identificación divulgada deben estudiarse para confirmar que una cuenta no se ha visto comprometida, si ha recibido una ola de alertas, esta implementación probablemente lo ha causado.
BleepingCompute contactó a Microsoft con preguntas sobre este incidente, pero no ha recibido ninguna respuesta en este momento.