Microsoft erkennt ein Problem an, das in seinem Entra -ID -Schutzsystem weit verbreitete Warnungen ausgelöst hat

Microsoft hat ein aktuelles Problem anerkannt, das in seinem Entra -ID -Schutzsystem weit verbreitete Warnungen ausgelöst hat und die Benutzerkonten aufgrund vermeintlicher Anmeldeinformationen im dunklen Web als hohes Risiko markiert.

Microsoft has confirmed an recent issue that led to widespread alerts in its Entra ID Protection system, warning of high-risk user accounts due to alleged credential leaks on the dark web.

Microsoft hat ein aktuelles Problem bestätigt, das zu weit verbreiteten Benachrichtigungen in seinem Entra-ID-Schutzsystem geführt hat, was auf hohe Risiko-Benutzerkonten aufgrund mutmaßlicher Anmeldeinformationen im dunklen Web warnte.

The alerts, which impacted system administrators globally, were attributed to a combination of an internal token logging error and the rollout of a new security feature called MACE Credential Revocation, causing confusion among IT professionals.

Die Warnungen, die sich weltweit auf die Systemadministratoren auswirkten, wurden auf eine Kombination eines internen Token -Protokollierungsfehlers und der Einführung einer neuen Sicherheitsfunktion namens Mace Credential -Widerruf zurückgeführt, wodurch die IT -Fachkräfte verwirrt sind.

Token Logging Issue Sparks Alerts

Token -Protokollierungsprobleme Sparks -Warnungen

Microsoft identified that it was inadvertently logging a subset of short-lived user refresh tokens for a small percentage of users, deviating from its standard practice of only logging metadata.

Microsoft stellte fest, dass es versehentlich eine Teilmenge von kurzlebigen Benutzer-Aktualisierungs-Token für einen kleinen Prozentsatz von Benutzern angemeldet hatte, was von der Standardpraxis nur von der Protokollierung von Metadaten abweicht.

This issue was promptly corrected, and the affected tokens were invalidated to protect users. However, this invalidation process unintentionally generated alerts in Entra ID Protection, indicating that users' credentials may have been compromised.

Dieses Problem wurde umgehend behoben, und die betroffenen Token wurden ungültig gemacht, um Benutzer zu schützen. Dieser Invalidierungsprozess generierte jedoch unbeabsichtigt Warnmeldungen im Entra -ID -Schutz, was darauf hinweist, dass die Anmeldeinformationen der Benutzer möglicherweise beeinträchtigt wurden.

The alerts occurred between 4:00 AM and 9:00 AM UTC on April 20, 2025, and there was no evidence of unauthorized access to these tokens. If any is detected, Microsoft will follow standard security incident response protocols.

Die Warnungen ereigneten sich am 20. April 2025 zwischen 4:00 und 9:00 Uhr UTC, und es gab keine Hinweise auf einen unbefugten Zugang zu diesen Token. Wenn eines festgestellt wird, wird Microsoft Standard -Sicherheitsreaktionsprotokollen befolgen.

MACE Rollout Triggers False Positives

Mace Rollout löst falsch positive Ergebnisse aus

Concurrently, Microsoft rolled out its new security feature, MACE Credential Revocation, over the same weekend, aiming to detect and respond to potentially compromised credentials by checking for matches on the dark web and other sources.

Gleichzeitig hat Microsoft seine neue Sicherheitsfunktion Mace Credential -Widerruf über das gleiche Wochenende eingeführt, um potenziell kompromittierte Anmeldeinformationen zu erkennen und auf andere Quellen zu prüfen.

However, the rollout led to widespread false positives, with accounts being flagged as high risk despite having strong, unique passwords and multi-factor authentication (MFA) enabled.

Der Rollout führte jedoch zu weit verbreiteten Fehlalarmen, wobei die Konten als ein hohes Risiko eingestuft wurden, obwohl starke, eindeutige Passwörter und Multi-Faktor-Authentifizierung (MFA) aktiviert waren.

Social media posts and online forums, including Reddit, reported similar experiences, and some administrators noted that even passwordless accounts were affected, further suggesting that the alerts were erroneous.

Social -Media -Beiträge und Online -Foren, einschließlich Reddit, berichteten über ähnliche Erfahrungen, und einige Administratoren stellten fest, dass selbst passwortlose Konten betroffen waren, was weiter darauf hindeutet, dass die Warnungen fehlerhaft waren.

One administrator shared on Reddit: "I just got a half dozen alerts for accounts supposedly found with valid credentials on the dark web. ... The six accounts don't have much in common ... There are no risky sign-ins, no other risk detections, everyone is MFA."

Ein Administrator, der auf Reddit geteilt wurde: "Ich habe gerade ein halbes Dutzend Warnungen für Konten erhalten, die angeblich mit gültigen Anmeldeinformationen im dunklen Web gefunden wurden.

The user added that the accounts didn't show any matches on Have I Been Pwned (HIBP), fueling suspicions of a Microsoft error.

Der Benutzer fügte hinzu, dass die Konten keine Übereinstimmungen auf PWNed (HIBP) zeigten, was den Verdacht auf einen Microsoft -Fehler befördert hat.

Microsoft's Response and Customer Actions

Microsofts Antwort und Kundenaktionen

Microsoft has advised affected customers to use the "Confirm User Safe" feature in Entra ID Protection to resolve the erroneous high-risk flags, as detailed in its documentation.

Microsoft hat die betroffenen Kunden mit der Funktion "Safe" im Entra-ID-Schutz verwendet, um die fehlerhaften Flaggen mit hohem Risiko zu beheben, wie in seiner Dokumentation aufgeführt.

This feature allows administrators to manually clear the risk status for affected users. Additionally, Microsoft recommends resetting passwords for any locked accounts and ensuring that MFA is enabled, although many affected accounts already had these measures in place.

Mit dieser Funktion können Administratoren den Risikostatus für betroffene Benutzer manuell löschen. Darüber hinaus empfiehlt Microsoft, Passwörter für alle gesperrten Konten zurückzusetzen und sicherzustellen, dass MFA aktiviert ist, obwohl viele betroffene Konten diese Maßnahmen bereits vorhanden hatten.

Administrators can also review sign-in logs in the Microsoft Entra admin center under Monitoring & Health for error codes like AADSTS50053, which indicate account lockouts.

Administratoren können auch Anmeldeprotokolle im Microsoft Enra Admin Center unter Überwachung und Gesundheit für Fehlercodes wie AADSTS50053 überprüfen, die Kontosperrungen anzeigen.

Ongoing Investigation and Recommendations

Laufende Untersuchungen und Empfehlungen

Microsoft is currently conducting a Post Incident Review (PIR) to investigate both the token logging issue and the MACE rollout's false positives.

Microsoft führt derzeit eine Post -Incident -Überprüfung (PIR) durch, um sowohl das Problem der Token -Protokollierung als auch die falsch positiven Aspekte des Mace Rollouts zu untersuchen.

The PIR will be shared with affected customers through official channels and open support cases. Customers are encouraged to configure Azure Service Health alerts to receive updates on the PIR and future Azure service issues.

Der PIR wird über offizielle Kanäle und offene Support -Fälle mit betroffenen Kunden geteilt. Kunden werden aufgefordert, Azure Service Health Alerts zu konfigurieren, um Aktualisierungen des PIR- und zukünftigen Azure -Service -Probleme zu erhalten.

Administrators facing these alerts are advised to:

Administratoren, die mit diesen Warnungen konfrontiert sind, wird empfohlen:

The incident has sparked frustration among IT professionals, with posts on X describing the MACE rollout as "ruining" their weekend due to false alarms.

Der Vorfall hat bei IT -Profis Frustration ausgelöst, wobei die Beiträge auf X den Streitkolbenrollout als "ruinieren", das ihr Wochenende aufgrund von Fehlalarmen "ruiniert".

One user remarked, "Microsoft rolled out a new dark web credential detection app called MACE this Easter weekend, which promptly ruined my Saturday with its false alarm on my primary M365/Entra ID account."

Ein Benutzer bemerkte: "Microsoft hat eine neue App für dunkle Web -Anmeldeinformationen namens Mace an diesem Osterwochenende herausgebracht, das meinen Samstag sofort mit seinem Fehlalarm auf meinem primären M365/Entra -ID -Konto ruiniert hat."

Another post highlighted the scale, noting that an MDR provider received over 20,000 notifications overnight.

Ein weiterer Beitrag hob die Skala hervor und stellte fest, dass ein MDR -Anbieter über Nacht über 20.000 Benachrichtigungen erhielt.

This incident follows other recent cybersecurity challenges, such as Microsoft's April 2025 Patch Tuesday, which addressed 126 vulnerabilities, including an actively exploited zero-day (CVE-2025_29824). While unrelated to the Entra issue, it underscores the heightened scrutiny on Microsoft's security processes.

Dieser Vorfall folgt den anderen kürzlich durchgeführten Cybersicherheitsherausforderungen, wie dem Patch am Dienstag im April 2025 von Microsoft, der 126 Schwachstellen befasste, einschließlich eines aktiv ausgebeuteten Zero-Day (CVE-2025_29824). Während es nicht mit dem Problem der Entra zu tun hat, unterstreicht es die verstärkte Prüfung der Sicherheitsprozesse von Microsoft.

Microsoft's swift acknowledgment and corrective actions demonstrate its commitment to user security, but the false positives have highlighted the challenges of rolling out new security features at scale.

Die schnelle Bestätigung und Korrekturmaßnahmen von Microsoft zeigen das Engagement für die Benutzersicherheit, aber die Fehlalarme haben die Herausforderungen der Einführung neuer Sicherheitsfunktionen im Maßstab hervorgehoben.

Administrators are urged to remain vigilant, follow Microsoft's guidance, and leverage external monitoring tools to ensure their systems remain secure. For further updates, customers can monitor the Azure Service Health portal or contact Microsoft support directly.

Die Administratoren werden aufgefordert, wachsam zu bleiben, die Anleitung von Microsoft zu befolgen und externe Überwachungstools zu nutzen, um sicherzustellen, dass ihre Systeme sicher bleiben. Für weitere Updates können Kunden das Azure Service Health -Portal überwachen oder sich direkt an den Microsoft -Support wenden.