Les administrateurs Windows de nombreuses organisations signalent des verrouillages de compte généralisés déclenchés par de faux positifs dans le déploiement d’une nouvelle application de détection des « informations d’identification divulguées » de Microsoft Entra ID appelée MACE.
Ces alertes et verrouillages ont commencé la nuit dernière, certains administrateurs croyant qu’il s’agissait de faux positifs car les comptes ont des mots de passe uniques qui ne sont utilisés sur aucun autre site ou application.
Microsoft Entra ID, anciennement Azure Active Directory, est un service de gestion des identités et des accès basé sur le cloud qui aide les organisations à gérer les identités des utilisateurs et à sécuriser l’accès aux ressources.
Dans un fil Reddit publié tôt ce matin, les administrateurs Windows ont signalé avoir reçu plusieurs alertes d’Entra indiquant que certains de leurs comptes d’utilisateurs avaient été trouvés avec des informations d’identification divulguées sur le Dark Web ou à d’autres endroits.
Ces comptes ont été automatiquement verrouillés hors du locataire, avec de nombreux utilisateurs affectés par organisation.
« Nous aussi… environ 1/3 de nos comptes ont été verrouillés il y a environ 1 heure. Nous sommes un MSP, donc je suppose que cela arrive aussi à nos clients », a posté un administrateur sur Reddit.
Les comptes verrouillés ne présentaient aucun signe de compromission, tels que des connexions suspectes, et étaient protégés par MFA. De plus, les services de notification des violations comme Have I Been Pwned (HIBP) n’avaient aucune correspondance pour ces comptes.
Un autre rapport sur Reddit a corroboré que cela était répandu, un fournisseur MDR déclarant avoir reçu plus de 20 000 notifications de Microsoft du jour au lendemain concernant des informations d’identification divulguées de différents clients
Bien que Microsoft n’ait pas confirmé publiquement la cause de ces verrouillages, Microsoft a déclaré à l’une des organisations concernées que cela était dû à un problème lié au déploiement d’une nouvelle application d’entreprise appelée « Révocation des informations d’identification MACE. »
« Je viens de m’en sortir avec l’ingénieur. C’est un Lock-out des locataires en raison de ce déploiement de MACE ninja qu’ils ont fait. aucun signe de compromis. Il a besoin d’une heure pour convertir le billet de compromis en lock-out, mais peut pousser un soupir de soulagement. C’était le code d’erreur: 53003 pour la politique d’accès conditionnel », a rapporté un administrateur sur Reddit.
Plusieurs personnes ont confirmé que cette application avait été ajoutée aux locataires juste avant de commencer à recevoir les alertes.
L’application de révocation des informations d’identification MACE est une fonctionnalité de Microsoft Entra utilisée pour détecter les informations d’identification divulguées et verrouiller les comptes potentiellement compromis.
Bien que toutes les alertes de fuite d’informations d’identification doivent faire l’objet d’une enquête pour confirmer qu’un compte n’a pas été compromis, si vous avez reçu une rafale d’alertes à la fois, ce déploiement en est probablement la cause.
Breachtrace a contacté Microsoft pour lui poser des questions sur cet incident, mais n’a pas reçu de réponse pour le moment.