關鍵詞

Microsoft

最新進展（2025年4月21日）：微軟向客戶發布通告，確認此次告警及賬戶鎖定事件源于系統錯誤記錄并注銷了用戶刷新令牌。詳見微軟官方說明。

全球范圍內大量Windows系統管理員報告，微軟Entra ID（原Azure Active Directory）新部署的"MACE泄露憑證檢測"功能出現大規模誤判，導致大量賬戶被錯誤鎖定。這些鎖定事件始于昨日下午，多位管理員指出，被鎖定賬戶均使用唯一密碼且設置了多重驗證（MFA），不存在實際泄露風險。

事件影響范圍

作為微軟云端身份與訪問管理服務的核心組件，Entra ID為全球企業提供統一的身份認證服務。今日凌晨Reddit論壇上涌現大量管理員報告：

• 單個企業平均30%賬戶突遭鎖定

• 某MSP服務商透露其1/3客戶賬戶受影響

• 某MDR安全廠商一夜收到超2萬條泄露憑證告警

被鎖定賬戶均未出現異常登錄跡象，且經Have I Been Pwned等泄密檢測服務驗證，相關憑證均未出現在暗網或其他泄露渠道中。

事件根源調查

微軟內部工程師向受影響企業確認，此次事件源于新企業應用"MACE憑證撤銷服務"的靜默部署問題。該功能本用于自動檢測并鎖定可能存在憑證泄露風險的賬戶。

一位管理員在Reddit透露："工程師確認這是MACE服務部署引發的租戶鎖定，錯誤代碼53003與條件訪問策略相關。雖然需要1小時轉換工單類型，但至少確認不是真實入侵。"

多名技術人員證實，在收到告警前，相關應用已被自動添加至租戶環境。

應對建議

雖然所有憑證泄露告警都應嚴肅調查，但若企業突然集中出現大量告警，極可能與此部署事件相關。建議采取以下措施：

1. 通過微軟Entra管理門戶審核近期告警

2. 檢查租戶中新出現的"MACE憑證撤銷服務"應用

3. 與微軟支持團隊確認受影響賬戶狀態

截至發稿，微軟尚未就此事發表公開聲明。本文將持續關注事件發展，及時更新最新動態。

企業用戶可通過查看錯誤代碼53003及相關條件訪問策略日志，快速識別是否受此事件影響。

來源：https://www.bleepingcomputer.com/news/microsoft/widespread-microsoft-entra-lockouts-tied-to-new-security-feature-rollout/

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！