Tình trạng khóa tài khoản Microsoft Entra lan rộng do triển khai tính năng bảo mật mới

devops.vn

Microsoft đã thông báo rằng các cảnh báo và khóa tài khoản trên Microsoft Entra ID là do việc vô hiệu hóa các mã thông báo làm mới của người dùng, điều này xảy ra khi các mã này bị ghi lại nhầm vào hệ thống. Sự cố này liên quan đến việc triển khai tính năng mới trong ứng dụng phát hiện thông tin đăng nhập bị rò rỉ MACE.

Tóm tắt sự cố

Nhiều quản trị viên Windows báo cáo rằng họ gặp phải tình trạng khóa tài khoản hàng loạt sau khi triển khai tính năng MACE, được thiết kế để phát hiện thông tin đăng nhập bị rò rỉ. Các cảnh báo bắt đầu xuất hiện từ tối qua, và một số quản trị viên đã nghi ngờ đây là những cảnh báo sai, vì các tài khoản bị ảnh hưởng đều có mật khẩu duy nhất, không được sử dụng trên các trang web hoặc ứng dụng khác.

Microsoft Entra ID, trước đây là Azure Active Directory, là dịch vụ quản lý danh tính và quyền truy cập trên đám mây, giúp các tổ chức quản lý danh tính người dùng và bảo mật quyền truy cập vào các tài nguyên.

Trong một thảo luận trên Reddit sáng nay, các quản trị viên Windows cho biết họ nhận được nhiều cảnh báo từ Entra, thông báo rằng tài khoản người dùng của họ đã bị phát hiện có thông tin đăng nhập bị rò rỉ trên dark web hoặc các nguồn khác. Những tài khoản này sau đó đã bị khóa tự động khỏi hệ thống, ảnh hưởng đến nhiều người dùng trong các tổ chức.

Một quản trị viên chia sẻ: “Chúng tôi cũng vậy… khoảng 1/3 tài khoản của chúng tôi bị khóa cách đây khoảng 1 giờ. Chúng tôi là MSP, nên tôi nghĩ đây cũng đang xảy ra với các khách hàng của chúng tôi.”

Các tài khoản bị khóa không có dấu hiệu bị xâm phạm, chẳng hạn như đăng nhập đáng ngờ, và đều được bảo vệ bằng MFA. Ngoài ra, các dịch vụ thông báo vi phạm như Have I Been Pwned (HIBP) cũng không phát hiện sự cố với những tài khoản này.

Một báo cáo khác trên Reddit cũng xác nhận đây là vấn đề lan rộng, khi một nhà cung cấp MDR cho biết họ đã nhận được hơn 20.000 thông báo từ Microsoft về thông tin đăng nhập bị rò rỉ từ các khách hàng khác nhau.

Nguyên nhân và giải pháp

Mặc dù Microsoft chưa công nhận công khai nguyên nhân gây ra sự cố này, nhưng một trong các tổ chức bị ảnh hưởng cho biết sự cố này là do vấn đề trong quá trình triển khai ứng dụng MACE Credential Revocation.

Một quản trị viên cho biết: “Vừa xong cuộc gọi với kỹ sư. Đây là tình trạng khóa tài khoản do triển khai MACE. Không có dấu hiệu xâm phạm. Anh ấy cần khoảng một giờ để chuyển ticket từ xâm phạm sang khóa tài khoản, nhưng có thể thở phào nhẹ nhõm. Lỗi là Mã lỗi: 53003 đối với chính sách truy cập điều kiện.”

MACE Credential Revocation

Ứng dụng MACE Credential Revocation là một tính năng của Microsoft Entra, dùng để phát hiện thông tin đăng nhập bị rò rỉ và khóa các tài khoản có thể bị xâm phạm.

Nếu bạn nhận được nhiều cảnh báo về thông tin đăng nhập bị rò rỉ cùng lúc, có khả năng đây là kết quả của việc triển khai tính năng này.

Lưu ý: Mọi cảnh báo về thông tin đăng nhập bị rò rỉ cần được điều tra để xác nhận tài khoản có thực sự bị xâm phạm hay không.