MACE против админов: Microsoft по ошибке забанила десятки тысяч аккаунтов

В конце прошлой недели администраторы Windows из различных организаций столкнулись с волной массовых блокировок учётных записей. Причиной стал новый механизм проверки утечек данных в Microsoft Entra ID, ранее известной как Azure Active Directory. По словам пострадавших, автоматическая система безопасности ошибочно сработала на якобы скомпрометированные пароли, хотя никаких признаков взлома зафиксировано не было.

Сигналы тревоги стали поступать от администраторов по всему миру. В специализированных ветках Reddit админы сообщали о множественных уведомлениях от Entra ID, согласно которым учётные записи их пользователей якобы фигурировали среди данных, утекших в даркнет или опубликованных в других подозрительных источниках. Сразу после этого система заблокировала доступ к этим аккаунтам.

Особенно тяжело ситуация сказалась на провайдерах управляемых сервисов (MSP): по словам одного из участников обсуждения, в их инфраструктуре было заблокировано около трети всех аккаунтов. Он предположил, что проблема также затронула клиентов компании.

На практике заблокированные учётные записи были защищены многофакторной аутентификацией, не демонстрировали признаков взлома и не совпадали с известными базами утечек, включая Have I Been Pwned. Тем не менее, Microsoft Entra автоматически реагировала на подозрительные совпадения и применяла политику жёсткой блокировки.

Ситуация прояснилась позднее, когда одна из пострадавших организаций получила пояснение от инженера Microsoft. Как оказалось, причина массовых блокировок — сбой в новом приложении MACE Credential Revocation, которое недавно было внедрено в рамках Entra ID. Это решение предназначено для автоматического обнаружения скомпрометированных учётных данных и немедленного ограничения доступа. Однако в процессе его развёртывания произошла ошибка, из-за которой Entra ошибочно определила большое количество уникальных и безопасных паролей как утекшие.

Некоторые администраторы указали, что до появления проблем в их арендаторах внезапно появилась новая корпоративная интеграция с приложением MACE, а ошибки в логах указывали на код 53003, связанный с политиками условного доступа. Сотрудники Microsoft рекомендовали в ручном порядке перевести инциденты из статуса «взлом» в «блокировка».

Подтверждение масштабности сбоя поступило и от поставщика MDR-услуг, который за одну ночь получил более 20 тысяч уведомлений от Microsoft об «утечках» данных в разных организациях.

На текущий момент официальных комментариев от Microsoft нет, однако с высокой вероятностью ошибка связана с некорректной конфигурацией или поспешным развёртыванием MACE. Специалисты советуют внимательно изучить каждый подобный инцидент и не игнорировать сигналы системы, даже если они похожи на ложные срабатывания. В то же время, если уведомления приходят массово и внезапно — скорее всего, это связано с автоматическим обновлением Entra ID.

Масштаб сбоя показывает, насколько опасным может быть внедрение даже полезных функций без предварительного тестирования. Администраторы, в чьих организациях используется Microsoft Entra, теперь находятся в режиме ожидания разъяснений от Microsoft и надеются на быстрое исправление ситуации.