В ночь на 17 апреля 2025 года администраторы Windows из множества компаний сообщили о массовых блокировках учетных записей в Microsoft Entra ID — облачной системе управления доступом, ранее известной как Azure Active Directory. Причиной стало внедрение нового защитного инструмента MACE Credential Revocation, который ошибочно идентифицировал утечки паролей.
Согласно многочисленным сообщениям в Reddit, Microsoft Entra начал рассылать уведомления о «утечке учетных данных», после чего аккаунты автоматически блокировались. Некоторые организации сообщили, что до трети всех пользователей оказались без доступа к своим профилям.
— «У нас заблокировали около 1/3 всех аккаунтов примерно час назад. Мы — MSP, так что, скорее всего, это затронуло и наших клиентов», — написал один из админов.
Большинство заблокированных учётных записей Microsoft Entra ID:
- Используют уникальные пароли, которые не применялись на других сайтах;
- Подключены к двухфакторной аутентификации (MFA);
- Не имели признаков взлома или подозрительной активности;
Не были замечены в базах утечек, таких как Have I Been Pwned.
Один из поставщиков MDR-услуг сообщил, что получил более 20 000 уведомлений о подобных «утечках» от Microsoft за одну ночь из разных организаций.
В чём причина такого поведения Microsoft Entra ID?
По данным одного из системных администраторов, виной стала ошибка при развёртывании нового корпоративного приложения от Microsoft — MACE Credential Revocation. Эта функция автоматически блокирует аккаунты, подозреваемые в компрометации на основе обнаруженных паролей в открытых источниках или даркнете.
«Только что говорил с инженером. Это действительно массовая блокировка из-за «некорректного» внедрения MACE. Признаков взлома нет. Сейчас переводят тикет из категории «взлом» в «ошибка блокировки». Можно выдохнуть», — сообщает другой админ.
Что делать в такой ситуации ?
Если вы получили серию оповещений об утечках паролей и блокировках аккаунтов:
- Проверьте настройки Entra и наличие MACE среди корпоративных приложений.
- Удостоверьтесь, что ваши пароли не фигурируют в сторонних базах утечек.
- Временно отключите или откатите политики блокировки по MACE (при необходимости).
Следите за официальными обновлениями Microsoft (на момент публикации комментариев от компании не поступало).
