Windows-beheerders van talloze organisaties melden sinds kort wijdverspreide accountvergrendelingen door valse positieven bij de uitrol van de nieuwe “gelekte wachtwoorden” detectie-app van Microsoft Entra ID, genaamd MACE.

Deze meldingen en vergrendelingen zijn sinds gisteravond begonnen. Veel beheerders vermoeden dat het om vals alarm gaat, aangezien de accounts unieke wachtwoorden hebben die nergens anders worden gebruikt.

Microsoft Entra ID, voorheen bekend als Azure Active Directory, is een cloud-gebaseerde dienst voor identiteits- en toegangsbeheer. Het helpt organisaties bij het beheren van gebruikersidentiteiten en het beveiligen van toegang tot middelen.

In een Reddit-discussie, die vanochtend vroeg werd gepost, deden Windows-beheerders verslag van meerdere waarschuwingen van Entra. Deze gaven aan dat de inloggegevens van sommige gebruikers zijn gelekt op het dark web of andere plekken.

Deze accounts werden direct uit het beheer van de tenant gehaald, met flink wat getroffen gebruikers per organisatie.

“Bij ons is het ook gebeurd… ongeveer een derde van onze accounts werd ongeveer een uur geleden vergrendeld. We zijn een Managed Service Provider, dus ik neem aan dat het ook bij onze klanten gebeurt,” deelde een beheerder op Reddit.

De vergrendelde accounts vertoonden geen tekenen van compromittering, zoals verdachte inlogpogingen, en waren beschermd met multi-factor authenticatie. Bovendien toonden datalek diensten zoals Have I Been Pwned (HIBP) geen overeenkomsten met deze accounts.

Een ander rapport op Reddit bevestigde dat de impact groot is, met een MDR-leverancier die meldde dat ze meer dan 20.000 meldingen van Microsoft ontvingen over gelekte inloggegevens van verschillende klanten.

Hoewel Microsoft de oorzaak van deze vergrendelingen nog niet publiekelijk heeft bevestigd, vertelde Microsoft aan een van de getroffen organisaties dat het werd veroorzaakt door een probleem met de uitrol van een nieuwe bedrijfsapplicatie genaamd “MACE Credential Revocation.”

“Zojuist met een technicus gesproken. Het is een tenant-vergrendeling vanwege deze MACE-uitrol. Geen tekenen van compromittering. Hij heeft een uur nodig om het ticket van compromittering naar vergrendeling te zetten, maar nu kunnen we gerust ademhalen. Het was foutcode: 53003 voor voorwaardelijk toegangsbeleid,” meldde een beheerder op Reddit.

Meerdere mensen bevestigden dat deze applicatie aan tenants was toegevoegd vlak voordat ze de waarschuwingen ontvingen.

De MACE Credential Revocation-app is een functie van Microsoft Entra die wordt gebruikt om gelekte inloggegevens te detecteren en mogelijk gecompromitteerde accounts te vergrendelen.

Hoewel alle waarschuwingen over gelekte inloggegevens onderzocht moeten worden om te bevestigen dat een account niet is gecompromitteerd, is de kans groot dat als je plotsklaps veel waarschuwingen hebt ontvangen, dit door deze uitrol is veroorzaakt.

BleepingComputer heeft Microsoft om opheldering gevraagd over dit incident, maar heeft tot nu toe nog geen reactie ontvangen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.