Microsoft는 Entra ID 보호 시스템에서 광범위한 경고를 유발 한 문제를 인정합니다.

Microsoft는 Entra ID 보호 시스템에서 광범위한 경고를 유발 한 최근의 문제를 인정하여 Dark Web에서 자격 증명이 유출되어 사용자 계정을 높은 위험으로 표시했습니다.

Microsoft has confirmed an recent issue that led to widespread alerts in its Entra ID Protection system, warning of high-risk user accounts due to alleged credential leaks on the dark web.

Microsoft는 Entra ID 보호 시스템에서 광범위한 경고로 이어진 최근의 문제를 확인하여 Dark Web의 자격 증명 유출로 인해 고위험 사용자 계정을 경고했습니다.

The alerts, which impacted system administrators globally, were attributed to a combination of an internal token logging error and the rollout of a new security feature called MACE Credential Revocation, causing confusion among IT professionals.

전 세계적으로 시스템 관리자에게 영향을 미치는 경고는 내부 토큰 로깅 오류와 MACE 자격 증명 취소라는 새로운 보안 기능의 롤아웃으로 인해 IT 전문가들 사이의 혼란을 유발하기 때문입니다.

Token Logging Issue Sparks Alerts

토큰 로깅 문제는 스파크 경고입니다

Microsoft identified that it was inadvertently logging a subset of short-lived user refresh tokens for a small percentage of users, deviating from its standard practice of only logging metadata.

Microsoft는 소수의 사용자를 위해 단기간 사용자 새로 고침 토큰의 하위 집합을 부주의하게 기록하여 메타 데이터 만 로깅하는 표준 관행에서 벗어나고 있음을 확인했습니다.

This issue was promptly corrected, and the affected tokens were invalidated to protect users. However, this invalidation process unintentionally generated alerts in Entra ID Protection, indicating that users' credentials may have been compromised.

이 문제는 즉시 수정되었으며, 영향을받는 토큰은 사용자를 보호하기 위해 무효화되었습니다. 그러나이 무효화 프로세스는 의도하지 않게 Entra ID 보호에서 경고를 생성하여 사용자의 자격 증명이 손상되었을 수 있음을 나타냅니다.

The alerts occurred between 4:00 AM and 9:00 AM UTC on April 20, 2025, and there was no evidence of unauthorized access to these tokens. If any is detected, Microsoft will follow standard security incident response protocols.

경고는 2025 년 4 월 20 일 오전 4시에서 오전 9 시까 지 UTC 사이에 발생 했으며이 토큰에 대한 무단 액세스 증거는 없었습니다. 감지되면 Microsoft는 표준 보안 사고 대응 프로토콜을 따릅니다.

MACE Rollout Triggers False Positives

메이스 롤아웃은 오 탐지를 트리거합니다

Concurrently, Microsoft rolled out its new security feature, MACE Credential Revocation, over the same weekend, aiming to detect and respond to potentially compromised credentials by checking for matches on the dark web and other sources.

동시에 Microsoft는 같은 주말에 새로운 보안 기능 인 MACE 자격 증명 취소를 출시하여 Dark Web 및 기타 소스에서 일치하는지 확인하여 잠재적으로 손상된 자격 증명을 감지하고 응답하는 것을 목표로했습니다.

However, the rollout led to widespread false positives, with accounts being flagged as high risk despite having strong, unique passwords and multi-factor authentication (MFA) enabled.

그러나 롤아웃은 광범위한 오 탐지로 이어졌으며, 강력하고 고유 한 암호와 MFA (Multi-Factor 인증)가 활성화되어 있음에도 불구하고 계정은 높은 위험으로 표시됩니다.

Social media posts and online forums, including Reddit, reported similar experiences, and some administrators noted that even passwordless accounts were affected, further suggesting that the alerts were erroneous.

Reddit을 포함한 소셜 미디어 게시물과 온라인 포럼은 비슷한 경험을보고했으며 일부 관리자는 비밀번호가없는 계정조차도 영향을 받았으며, 경고가 잘못되었음을 더욱 시사했습니다.

One administrator shared on Reddit: "I just got a half dozen alerts for accounts supposedly found with valid credentials on the dark web. ... The six accounts don't have much in common ... There are no risky sign-ins, no other risk detections, everyone is MFA."

한 관리자는 Reddit에서 공유했습니다. "Dark Web에서 유효한 자격 증명으로 발견 된 계정에 대해 6 개의 알림을 받았습니다. 6 개의 계정에는 공통점이 많지 않습니다 ... 위험한 사인, 다른 위험 감지는 없으며 MFA입니다."

The user added that the accounts didn't show any matches on Have I Been Pwned (HIBP), fueling suspicions of a Microsoft error.

사용자는 계정에 내가 PWEND (HIBP)가 있었기 때문에 Microsoft 오류에 대한 의심을 불러 일으켰다 고 덧붙였다.

Microsoft's Response and Customer Actions

Microsoft의 응답 및 고객 조치

Microsoft has advised affected customers to use the "Confirm User Safe" feature in Entra ID Protection to resolve the erroneous high-risk flags, as detailed in its documentation.

Microsoft는 영향을받은 고객에게 Entra ID 보호에서 "사용자 안전 확인"기능을 사용하여 문서에 자세히 설명 된 것처럼 잘못 위험이 높은 플래그를 해결하도록 조언했습니다.

This feature allows administrators to manually clear the risk status for affected users. Additionally, Microsoft recommends resetting passwords for any locked accounts and ensuring that MFA is enabled, although many affected accounts already had these measures in place.

이 기능을 통해 관리자는 영향을받는 사용자의 위험 상태를 수동으로 지우실 수 있습니다. 또한 Microsoft는 잠긴 계정에 대한 비밀번호 재설정을 권장하고 MFA가 활성화되도록하는 것이 좋습니다.

Administrators can also review sign-in logs in the Microsoft Entra admin center under Monitoring & Health for error codes like AADSTS50053, which indicate account lockouts.

관리자는 AADSTS50053과 같은 오류 코드에 대한 모니터링 및 건강에 따라 Microsoft Entra Admin Center의 로그인 로그를 검토 할 수 있으며, 이는 계정 잠금을 나타냅니다.

Ongoing Investigation and Recommendations

지속적인 조사 및 권장 사항

Microsoft is currently conducting a Post Incident Review (PIR) to investigate both the token logging issue and the MACE rollout's false positives.

Microsoft는 현재 Token 벌목 문제와 Mace Rollout의 잘못된 양성을 모두 조사하기 위해 사후 사고 검토 (PIR)를 수행하고 있습니다.

The PIR will be shared with affected customers through official channels and open support cases. Customers are encouraged to configure Azure Service Health alerts to receive updates on the PIR and future Azure service issues.

PIR은 공식 채널 및 공개 지원 사례를 통해 영향을받는 고객과 공유됩니다. 고객은 Azure Service Health Alerts를 구성하여 PIR 및 향후 Azure 서비스 문제에 대한 업데이트를 받도록 권장됩니다.

Administrators facing these alerts are advised to:

이러한 경고에 직면 한 관리자는 다음과 같이 권장됩니다.

The incident has sparked frustration among IT professionals, with posts on X describing the MACE rollout as "ruining" their weekend due to false alarms.

이 사건은 IT 전문가들 사이에서 좌절감을 불러 일으켰으며, X의 게시물은 메이스 롤아웃을 잘못된 경보로 인해 주말을 "파괴"하는 것으로 묘사했습니다.

One user remarked, "Microsoft rolled out a new dark web credential detection app called MACE this Easter weekend, which promptly ruined my Saturday with its false alarm on my primary M365/Entra ID account."

한 사용자는 "Microsoft는 이번 부활절 주말에 Mace라는 새로운 다크 웹 자격 증명 감지 앱을 출시했으며, 기본 M365/Entra ID 계정에 대한 잘못된 경보로 토요일을 즉시 망쳤습니다."

Another post highlighted the scale, noting that an MDR provider received over 20,000 notifications overnight.

또 다른 게시물은 MDR 제공 업체가 밤새 20,000 개가 넘는 알림을 받았다는 점을 지적하면서 규모를 강조했습니다.

This incident follows other recent cybersecurity challenges, such as Microsoft's April 2025 Patch Tuesday, which addressed 126 vulnerabilities, including an actively exploited zero-day (CVE-2025_29824). While unrelated to the Entra issue, it underscores the heightened scrutiny on Microsoft's security processes.

이 사건은 화요일 Microsoft의 2025 년 4 월 패치와 같은 최근의 다른 사이버 보안 문제를 따릅니다. Entra 문제와 관련이 없지만 Microsoft의 보안 프로세스에 대한 조사가 강화됩니다.

Microsoft's swift acknowledgment and corrective actions demonstrate its commitment to user security, but the false positives have highlighted the challenges of rolling out new security features at scale.

Microsoft의 신속한 인정 및 시정 조치는 사용자 보안에 대한 약속을 보여 주지만, 잘못된 긍정은 새로운 보안 기능을 규모로 발전시키는 데 어려움을 겪었습니다.

Administrators are urged to remain vigilant, follow Microsoft's guidance, and leverage external monitoring tools to ensure their systems remain secure. For further updates, customers can monitor the Azure Service Health portal or contact Microsoft support directly.

관리자는 경계를 유지하고 Microsoft의 지침을 따르며 외부 모니터링 도구를 활용하여 시스템의 안전을 유지하도록 촉구합니다. 추가 업데이트를 위해 고객은 Azure Service Health Portal을 모니터링하거나 Microsoft 지원에 직접 문의 할 수 있습니다.