Всё из-за токенов: Microsoft раскрыла детали IT-хаоса, случившегося на выходных
NewsMakerАдминистраторы пьют успокоительные, хотя повода для беспокойства и не было.
Microsoft объяснила причины массовых блокировок учётных записей Entra, произошедших в минувшие выходные . Проблема оказалась связана не с внешними атаками, как могли подумать многие, а с ошибкой внутри самой компании — некорректной регистрацией пользовательских токенов обновления.
Субботним утром множество организаций начали получать тревожные уведомления от Entra ID: система сигнализировала о якобы скомпрометированных учётных данных и автоматически блокировала аккаунты. Некоторые администраторы предположили, что проблема вызвана внедрением нового корпоративного приложения под названием MACE Credential Revocation, установленного незадолго до начала инцидента.
Позже представители Microsoft признали, что система по ошибке начала логировать не только метаданные, но и сами краткоживущие токены обновления пользователей — элементы, с помощью которых поддерживается активная сессия в корпоративной среде. Осознав ошибку, команда безопасности Microsoft инициировала процедуру отзыва этих токенов. Именно она и вызвала всплеск ложных срабатываний в системе защиты Entra ID, что и привело к блокировке аккаунтов.
По данным из внутреннего уведомления, размещённого на Reddit одним из администраторов, сбой был выявлен 18 апреля. Ошибка в логировании оперативно устранена, однако в период с 4 до 9 утра 20 апреля по UTC система автоматически расценивала действия по отзыву токенов как потенциальную компрометацию учётных данных и отправляла соответствующие оповещения.
Microsoft подчёркивает, что на данный момент нет признаков несанкционированного доступа к этим токенам. В случае появления такой информации будет задействован стандартный процесс реагирования на инциденты. Чтобы восстановить доступ, организациям предложено вручную отметить пользователей как безопасных с помощью функции Confirm User Safe в интерфейсе Microsoft Entra.
Компания пообещала опубликовать полный отчёт о произошедшем после завершения расследования и предоставить его всем затронутым клиентам. Запросы со стороны СМИ пока остались без ответа, однако масштаб инцидента и реакция Microsoft говорят о серьёзности сбоя.
Microsoft объяснила причины массовых блокировок учётных записей Entra, произошедших в минувшие выходные . Проблема оказалась связана не с внешними атаками, как могли подумать многие, а с ошибкой внутри самой компании — некорректной регистрацией пользовательских токенов обновления.
Субботним утром множество организаций начали получать тревожные уведомления от Entra ID: система сигнализировала о якобы скомпрометированных учётных данных и автоматически блокировала аккаунты. Некоторые администраторы предположили, что проблема вызвана внедрением нового корпоративного приложения под названием MACE Credential Revocation, установленного незадолго до начала инцидента.
Позже представители Microsoft признали, что система по ошибке начала логировать не только метаданные, но и сами краткоживущие токены обновления пользователей — элементы, с помощью которых поддерживается активная сессия в корпоративной среде. Осознав ошибку, команда безопасности Microsoft инициировала процедуру отзыва этих токенов. Именно она и вызвала всплеск ложных срабатываний в системе защиты Entra ID, что и привело к блокировке аккаунтов.
По данным из внутреннего уведомления, размещённого на Reddit одним из администраторов, сбой был выявлен 18 апреля. Ошибка в логировании оперативно устранена, однако в период с 4 до 9 утра 20 апреля по UTC система автоматически расценивала действия по отзыву токенов как потенциальную компрометацию учётных данных и отправляла соответствующие оповещения.
Microsoft подчёркивает, что на данный момент нет признаков несанкционированного доступа к этим токенам. В случае появления такой информации будет задействован стандартный процесс реагирования на инциденты. Чтобы восстановить доступ, организациям предложено вручную отметить пользователей как безопасных с помощью функции Confirm User Safe в интерфейсе Microsoft Entra.
Компания пообещала опубликовать полный отчёт о произошедшем после завершения расследования и предоставить его всем затронутым клиентам. Запросы со стороны СМИ пока остались без ответа, однако масштаб инцидента и реакция Microsoft говорят о серьёзности сбоя.