A Microsoft confirmou que os bloqueios de contas do Entra ocorridos no final de semana foram causados pela invalidação de tokens de atualização de usuário de curta duração que foram erroneamente registrados nos sistemas internos.
Na manhã de sábado(19), várias organizações relataram que começaram a receber alertas da Microsoft Entra informando que contas haviam vazado credenciais, causando o bloqueio automático dessas contas.
Os clientes afetados inicialmente pensaram que os bloqueios de conta estavam relacionados ao lançamento de uma nova aplicação corporativa chamada "MACE Credential Revocation", instalada minutos antes dos alertas serem emitidos.
No entanto, um administrador de uma das organizações impactadas compartilhou um aviso enviado pela Microsoft informando que o problema foi causado porque a empresa registrou erroneamente os tokens de atualização do usuário impactado, em vez de apenas seus metadados.
Após perceberem que registraram os tokens de conta reais, eles começaram a invalidá-los, o que acidentalmente gerou os alertas e bloqueios.
"Na sexta-feira918), a Microsoft identificou que estava registrando internamente um subconjunto de tokens de atualização de usuário de curta duração para uma pequena porcentagem de usuários, enquanto nosso processo padrão de registro é registrar apenas metadados sobre esses tokens", lê-se em um aviso da Microsoft postado no Reddit.
A questão do registro interno foi imediatamente corrigida, e a equipe realizou um procedimento para invalidar esses tokens para proteger os clientes.
Como parte do processo de invalidação, geramos inadvertidamente alertas no Entra ID Protection indicando que as credenciais do usuário podem ter sido comprometidas.
Esses alertas foram enviados entre 20/04/25 4AM UTC e 20/04/25 9AM UTC.
Não temos indicação de acesso não autorizado a esses tokens - e se determinarmos que houve algum acesso não autorizado, acionaremos nossos processos padrão de resposta a incidentes de segurança e comunicação.
A Microsoft diz que os clientes impactados podem dar o feedback "Confirm User Safe" no Microsoft Entra para o usuário marcado restaurar o acesso às suas contas.
A empresa diz que publicará uma Revisão Pós Incidente (Post Incident Review - PIR) após a conclusão da investigação, que será compartilhada com todos os clientes impactados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...