Microsoft Fixes Probleem met Entra Accounts na Weekendse Chaos

De reden achter de verwarring

Afgelopen weekend ontvingen talloze organisaties een onverwachte melding: hun Microsoft Entra-accounts waren geblokkeerd vanwege vermeende gelekte inloggegevens. De reden? Microsoft had per ongeluk kortdurende gebruikersverversingstokens opgeslagen in hun interne systemen.

Een verkeerde inschatting

Op zaterdagochtend merkten diverse bedrijven op dat hun accounts plotseling op slot waren gezet. Het vermoeden ontstond al snel dat dit te maken had met een nieuw door Microsoft uitgerold bedrijfsprogramma genaamd "MACE Credential Revocation". Minutes na de installatie ervan, schakelde het alarmlicht aan.

Waar ging het fout?

Een beheerder van een getroffen organisatie ontving een bericht van Microsoft, waarin werd uitgelegd dat het bedrijf verkeerdelijk de gebruikersverversingstokens zelf had vastgelegd, in plaats van alleen de bijbehorende metadata. Toen ze zich deze inschattingsfout realiseerden, begonnen ze de tokens ongeldig te maken, wat onbedoeld leidde tot de alarmerende meldingen en vergrendelingen van accounts.

Herstelacties

Microsoft gaf aan dat zij dit probleem op vrijdag 18 april 2025 ontdekten en het onmiddellijk hebben gecorrigeerd. "We hebben direct ingegrepen en deze binnenhousdlogging stopgezet", vermeldde Microsoft in een advies dat op Reddit verscheen. Ze verduidelijkten dat de waarschuwingen tussen 20 april 2025, 4 uur ’s morgens en 9 uur ’s morgens UTC verstuurd werden, en benadrukten dat er geen aanwijzingen zijn van ongeautoriseerde toegang tot de tokens.

Wat nu?

Ook het herstelplan is helder. Getroffen klanten kunnen in Microsoft Entra de optie "Bevestig dat gebruiker veilig is" gebruiken om de toegang tot hun accounts te herstellen. Microsoft belooft een gedetailleerd rapport uit te brengen waarin het hele voorval en de gevolgen ervan worden besproken, zodra het onderzoek is afgerond.

Wachten op antwoord

BleepingComputer benaderde Microsoft op zaterdag voor een reactie, maar heeft tot op heden nog geen terugkoppeling mogen ontvangen.

Met een toezegging tot het publiceren van een Post Incident Review (PIR) toont Microsoft zich verantwoordelijk en bereid te leren van deze situatie. De nieuwsgierigheid van Entra-gebruikers naar dit incident en de daaropvolgende oplossingen houdt voorlopig aan.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.