Microsoft Entra ID, anteriormente conocido como Azure Active Directory, es un servicio de gestión de identidad y acceso en la nube que ayuda a las organizaciones a gestionar identidades de usuarios y acordar acceso seguro a recursos. Sin embargo, la reciente implementación de Mace ha causado serios inconvenientes.
Los administradores comenzaron a compartir sus experiencias en Reddit, donde mencionaron que recibieron varias alertas de Entra indicando que algunas cuentas de usuario habían sido identificadas como expuestas a credenciales filtradas en la web oscura y otros lugares. Como resultado, los sistemas bloquearon estas cuentas automáticamente, afectando a numerosos usuarios en diversas entidades. Por ejemplo, un administrador comentó que aproximadamente un tercio de las cuentas de su organización fueron bloqueadas en cuestión de una hora.
Destacablemente, las cuentas restringidas no mostraron signos de compromiso real, como inicios de sesión sospechosos, y estaban protegidas con autenticación multifactor (MFA). Asimismo, herramientas de verificación de datos, como Have I Been Pwned (HIBP), no registraron coincidencias con estas cuentas.
Un proveedor de servicios de detección y respuesta a incidentes (MDR) también corroboró la magnitud del problema, reportando que había recibido más de 20,000 notificaciones de Microsoft durante la noche sobre posibles credenciales comprometidas de sus diversos clientes. A pesar de la amplia repercusión, Microsoft no ha ofrecido una explicación oficial sobre la causa de estos bloqueos.
Se supo que el problema respondía a un mal funcionamiento relacionado con la aplicación de revocación de credenciales de Mace. Un ingeniero de Microsoft informó a uno de los administradores afectados que el bloqueo de cuentas fue el resultado de este despliegue reciente, y que no mostraban signos de compromiso real. Este incidente fue clasificado con el código de error 53003, relacionado con la política de acceso condicional. Varios usuarios confirmaron que la implementación de esta función llegó a los inquilinos justo antes de que comenzaran a recibir alertas.
La aplicación Mace de Microsoft es una herramienta diseñada para detectar credenciales filtradas y bloquear cuentas que pudieran estar en riesgo. A pesar de que cada alerta sobre credenciales filtradas debe investigarse para confirmar la integridad de la cuenta, este despliegue específico de Mace parece haber disparado una serie de bloqueos masivos que no estaban justificados. Como tal, es probable que estas alertas sean el resultado de un error en la implementación de la aplicación.
BleepingComputer, un medio de comunicación tecnológico, intentó contactar a Microsoft para obtener más información sobre el incidente, aunque hasta el momento de la solicitud no había recibido respuesta.
Este evento pone de relieve no solo la dependencia creciente de las organizaciones en la gestión de identidad y acceso en la nube, sino también los riesgos asociados con la implementación de nuevas tecnologías que pueden generar situaciones imprevistas y complicaciones en la seguridad cibernética. Los administradores y las organizaciones se ven obligados a evaluar la efectividad y el impacto de estas herramientas, así como a prepararse para responder adecuadamente a incidentes que, aunque inesperados, pueden surgir en el curso de la adopción de nuevas tecnologías.
Enlace de la fuente, haz clic para tener más información