Uma atualização de segurança da Microsoft ENTRA está bloqueando os usuários de suas contas
- Algumas contas de identificação da ENTRA estavam sendo sinalizadas como tendo credenciais comprometidas
- Parece que era apenas a Microsoft “alertas inadvertidamente de geração (ing) (falsa)”
- No entanto, os usuários estavam recebendo explicações diferentes da Microsoft
Os administradores do Windows relataram bloqueios de conta em massa em várias organizações após uma atualização da Microsoft ENTRA ID.
Muitos acreditam que esses foram falsos positivos desencadeados no novo aplicativo vazado de detecção de credenciais vazados da ENTRA (um novo recurso chamado MACE Credencial Revocation), pois as contas afetadas possuíam senhas exclusivas e não utilizadas.
Um usuário postou para um Reddit Thread Que cerca de meia dúzia de contas foram bloqueadas depois que as credenciais foram encontradas na Web Dark, no entanto, esses usuários não tinham muito em comum, sugerindo que não era um ataque direcionado.
O ID da ENTRA pode estar sinalizando falsos positivos
“Não há assinaturas arriscadas, nem outras detecções de risco, todo mundo é MFA, é literalmente a única coisa que apareceu hoje, aumentando o risco dessas pessoas de zero para alto”, explicou o usuário do Reddit.
Abaixo da postagem original, há uma série de comentários de outros administradores do sistema que também tiveram problemas semelhantes, com um usuário compartilhando uma resposta da Microsoft sugerindo que as contas haviam sido errôneas sinalizadas:
“Na sexta-feira 18/4/25, a Microsoft identificou que estava registrando internamente um subconjunto de tokens de atualização de usuário de curta duração para uma pequena porcentagem de usuários, enquanto nosso processo de registro padrão é apenas registrar metadados sobre tais tokens. O problema interno de registro foi corrigido imediatamente e a equipe executou um procedimento para invalidar esses tokens para os parakens para os parakens.”
O aviso vê a Microsoft admitir “alertas inadvertidamente de geração (ing) na proteção da IDRA ID” de supostas credenciais comprometidas entre as 4h do UTC e as 9h UTC em 20 de abril.
Outro usuário disse que foi citado “Código de erro: 53003” para política de acesso condicional, enquanto outro foi informado de que isso tinha a ver com uma interrupção em sua região – mesmo que nenhuma interrupção tivesse sido relatada ou registrada.
TechRadar Pro pediu à Microsoft que esclareça o que aconteceu no fim de semana e por que os usuários parecem ter recebido explicações diferentes. Qualquer atualização será postada aqui.
