kevinm1tnik
Продавец
- Статус
- offline
- Регистрация
- 03.02.2025
- Сообщения
- 20
- Репутация
- 1
Двадцатого апреля текущего года множество организаций, использующих облачные сервисы Microsoft, столкнулись с неожиданной и масштабной проблемой – массовой блокировкой учетных записей в системе Microsoft Entra ID. Причиной этого инцидента, как впоследствии подтвердили в самой Microsoft, стала ошибка, допущенная разработчиками в процессе отладки программного обеспечения. В результате этой ошибки произошли ложные срабатывания встроенных механизмов безопасности, которые и привели к автоматической блокировке большого количества учетных записей пользователей.
Ключевым аспектом произошедшего стало некорректное аннулирование токенов обновления пользователей. Токены обновления представляют собой важные элементы системы аутентификации в Microsoft 365 и связанных сервисах, включая Microsoft Entra ID. Они отвечают за поддержание активных сессий пользователей в корпоративной сети, позволяя им получать доступ к ресурсам без необходимости повторной авторизации при каждом обращении.
Инженер-аналитик Лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева подробно объяснила механизм сбоя. По ее словам, инженеры Microsoft проводили отладку после обнаружения уязвимости, связанной с избыточными записями проверочных идентификаторов в журналах систем. В процессе устранения этой уязвимости была произведена очистка токенов обновления. Однако, из-за ошибки в процессе дебага, эта очистка затронула не только проблемные записи, но и легитимные токены большого числа пользователей.
Как следствие, служба Microsoft Entra ID Protection расценила отсутствие или некорректность токенов обновления как потенциальный признак компрометации учетных данных. В соответствии с настроенными протоколами безопасности, система автоматически разослала массовые уведомления о возможной угрозе и предприняла превентивные меры, заключавшиеся в блокировке учетных записей затронутых пользователей.
В официальном сообщении Microsoft подчеркнули, что аннулирование токенов, хоть и ошибочное, было произведено в целях безопасности. Компания заверила пользователей в отсутствии фактов несанкционированного доступа к их учетным записям через обнаруженную уязвимость. Для восстановления доступа Microsoft рекомендовала администраторам и пользователям использовать специальную опцию «Confirm User Safe» в интерфейсе Microsoft Entra. Эта функция позволяет подтвердить легитимность учетной записи и восстановить доступ после блокировки.
Тем не менее, инцидент вызвал обеспокоенность среди специалистов по кибербезопасности. Ирина Дмитриева особо отметила важность тщательного мониторинга способов и средств обработки токенов аутентификации, особенно в облачных средах, где управление доступом имеет свои специфические особенности. Она настоятельно рекомендовала администраторам систем проверить журналы безопасности Entra ID за период, предшествовавший инциденту, на предмет записей об очистке токенов, а также убедиться в стабильной и корректной работе систем, отвечающих за предоставление доступа пользователям к корпоративным ресурсам.
В качестве дополнительной меры предосторожности и для повышения уровня безопасности корпоративной инфраструктуры, специалист «Газинформсервиса» предложила внедрение централизованных программных комплексов, таких как Efros DefOps. По ее мнению, подобные решения позволяют администраторам эффективно управлять доступом, моделировать потенциальные векторы атак, а также осуществлять детальную настройку и своевременное обновление прав доступа пользователей, что в свою очередь снижает риски возникновения подобных инцидентов в будущем.
Таким образом, инцидент с массовыми блокировками в Microsoft Entra ID стал наглядным примером того, как ошибки в процессе разработки и отладки могут привести к серьезным последствиям для большого числа пользователей и организаций, подчеркнув необходимость тщательного контроля за процессами разработки и внедрения обновлений в критически важные системы безопасности.