Nieautoryzowane blokady w Entra. Co poszło nie tak?
To miał być zwykły, spokojny weekend. Tymczasem dla wielu organizacji korzystających z usług Microsoft Entra sobotni poranek rozpoczął się serią niepokojących powiadomień. Alerty, które pojawiły się w systemach, wskazywały na potencjalny wyciek danych uwierzytelniających i skutkowały automatyczną blokadą kont użytkowników. W wielu przypadkach zablokowane zostały konta – w tym administracyjne – co w praktyce paraliżowało działanie firm. Początkowo podejrzenia padły na niedawno wdrożoną aplikację o nazwie MACE Credential Revocation, którą wiele firm zainstalowało tuż przed pojawieniem się pierwszych sygnałów o problemach. Naturalnym tropem wydawało się powiązanie blokad z działaniem tego nowego narzędzia. Jednak bardzo szybko pojawiły się informacje, które zmieniły bieg interpretacji całego zdarzenia. Jak się okazało, źródłem problemu nie była nowa aplikacja, lecz błąd po stronie samego Microsoftu. Zamiast zapisywać jedynie metadane związane z tokenami odświeżania użytkowników – jak przewiduje standardowa procedura – system wewnętrzny firmy błędnie zalogował rzeczywiste tokeny dostępu. To właśnie ta pomyłka stała się początkiem lawiny problemów, które rozlały się na dziesiątki organizacji na całym świecie.
Automatyczna reakcja z dramatycznymi skutkami
Gdy inżynierowie zorientowali się, że omyłkowo zarejestrowali pełne tokeny, zdecydowali się na ich natychmiastowe unieważnienie. I choć ta reakcja była zgodna z polityką bezpieczeństwa, jej skutki uboczne okazały się poważne. Mechanizm ochrony Entra ID potraktował to działanie jako potencjalne naruszenie bezpieczeństwa i zinterpretował je jako atak lub próbę wycieku danych. W efekcie rozpoczęła się automatyczna blokada kont, w tym także tych należących do administratorów. Informacje te pojawiły się w wewnętrznym poradniku technicznym, który został upubliczniony przez jednego z administratorów na platformie Reddit. W dokumencie można znaleźć dokładny opis problemu oraz wyjaśnienie, że zidentyfikowany błąd został już usunięty, a działania związane z unieważnianiem tokenów zostały przeprowadzone w dobrej wierze – z myślą o bezpieczeństwie klientów. Nie zmienia to jednak faktu, że skutki były poważne. Między godziną 4 a 9 rano czasu UTC 20 kwietnia tysiące kont zostało oznaczonych jako zagrożone. Systemy bezpieczeństwa zareagowały zgodnie z procedurą, uniemożliwiając użytkownikom zalogowanie się do kluczowych usług. To, co miało być prewencyjną procedurą, przerodziło się w realny kryzys operacyjny dla wielu firm.
Zaufanie wystawione na próbę
Microsoft uspokaja, że nie posiada obecnie żadnych dowodów na to, by doszło do nieautoryzowanego dostępu do tych danych. Firma zapewnia również, że w razie wykrycia jakichkolwiek sygnałów naruszenia bezpieczeństwa, zostaną uruchomione standardowe procedury reagowania na incydenty. Co ważne, użytkownicy, których konta zostały błędnie oznaczone, mogą przywrócić do nich dostęp poprzez potwierdzenie ich bezpieczeństwa bezpośrednio w panelu Microsoft Entra. Na tym etapie wiadomo już, że firma planuje publikację szczegółowego raportu (PIR), który ma zostać udostępniony wszystkim organizacjom dotkniętym problemem. Do tego czasu pozostaje jednak wiele pytań – szczególnie wśród administratorów, którzy oczekują wyjaśnień i gwarancji, że podobna sytuacja nie powtórzy się w przyszłości. Chociaż Microsoft w swoich komunikatach stara się tonować emocje, incydent ten podważył zaufanie do automatyzacji działań zabezpieczających w Entra. Tym bardziej że użytkownicy, którzy zostali zablokowani, przez kilka godzin nie mieli żadnej informacji o przyczynach ani sposobie rozwiązania sytuacji.
