HackerNews 编译,转载请注明出处:
微软确认,上周末Microsoft Entra账户锁定事件系因系统内部误存短期用户刷新令牌并触发失效机制所致。周六上午,多家机构报告开始收到Microsoft Entra警报,提示账户凭证泄露并触发自动锁定机制。
受影响客户最初认为账户锁定与名为“MACE凭据吊销”的新企业应用程序部署相关(该应用在警报触发前数分钟被安装)。但某受影响组织的管理员披露了微软发送的公告,指出根本原因是公司错误记录了受影响账户的完整用户刷新令牌(而非仅元数据)。
微软在意识到误记录实际令牌后启动失效程序,意外触发警报与锁定操作。微软在Reddit发布的官方公告称:“2025年4月18日(周五),我们发现内部系统错误记录了少量用户的短期刷新令牌(标准流程本应仅记录令牌元数据)。我们已立即纠正日志问题,并执行令牌失效程序以保护客户。但在失效过程中,我们无意间在Entra ID Protection中生成了’用户凭证可能已泄露’的警报。这些警报发送时间为UTC时间2025年4月20日4:00至9:00。目前没有证据表明这些令牌遭未授权访问——若后续发现任何非法访问迹象,我们将启动标准安全事件响应与通报流程。”
微软表示,受影响客户可通过Microsoft Entra中针对标记用户的“确认用户安全”反馈功能恢复账户访问权限。公司承诺将在调查结束后发布事件事后审查报告(PIR),并与所有受影响客户共享该报告。BleepingComputer周六已就此事联系微软,但截至发稿尚未获得回复。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
