Эксперт Дмитриева: дебаг в Microsoft обернулся массовыми блокировками
20 апреля множество организаций столкнулись с массовыми блокировками учетных записей Microsoft Entra ID из-за ложных срабатываний встроенных механизмов защиты. Как подтвердили в Microsoft, причиной стала ошибка разработчиков во время отладки, которая привела к аннулированию токенов обновления пользователей. Киберэксперт «Газинформсервиса» Ирина Дмитриева рекомендует администраторам немедленно проверить журналы безопасности и убедиться в работоспособности систем авторизации.
«Причиной ложного срабатывания стал процесс дебага, в ходе которого произвели аннулирование токенов обновления. Токены обновления — элементы аутентификации в Microsoft 365, с помощью которых поддерживается активная сессия в корпоративной сети. Процесс очистки токенов инженеры произвели после найденной уязвимости при проверке записей в журналах систем, где обнаружились избыточные записи о проверочных идентификаторах, вместо их метаданных. Итог очистки токенов привел к массовым уведомлениям от службы Microsoft Entra ID Protection о возможной компрометации учетных данных, что и привело к превентивным мерам – блокировкам», — отметила инженер-аналитик Лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
Microsoft напоминают, что аннулирование токенов было произведено в целях защиты, фактов несанкционированного доступа к учетным записям клиентов через уязвимость зарегистрировано не было. Для восстановления доступа клиентам рекомендовано использовать опцию «Confirm User Safe» в Microsoft Entra.
Киберэксперт подчёркивает важность мониторинга способов и средств обработки токенов аутентификации в облачных средах. Администраторам систем рекомендуется проверить журналы безопасности Entra ID за указанный период на предмет очистки токенов, а также убедиться, что системы предоставления доступа для пользователей функционируют исправно.
«Для централизованного управления инфраструктурой рекомендуется внедрение программных комплексов, таких как Efros DefOps от компании "Газинформсервис". Централизованные средства защиты позволят решить широкий перечень задач в работе администраторов, начиная от контроля доступа и моделирования векторов атак, заканчивая детализированной настройкой и обновлением прав доступа пользователям», — объясняет специалист.
похожие материалы
Исследователи предупредили о новой фишинговой кампании, нацеленной на клиентов сервиса
Производитель популярного менеджера паролей LastPass сообщил о новой волне фишинговых атак, направленных на пользователей его сервиса.
Исследователи проанализировали более 1 млрд украденных паролей
Компания Outpost24 опубликовала обновлённый отчёт Breached Passwords Report, основанный на анализе более 1 млрд скомпрометированных паролей, собранных из утечек данных и с помощью инфостиллеров.
Исследователи обнаружила новый модульный бэкдор ShadowRelay в инфраструктуре госсектора
Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора.
В РФ ИИ-технологии используют лишь около 10% компаний
Исследование компании Artezio совместно с Comindware и ассоциациями «Руссофт» и BPM-профессионалов фиксирует характерный для российского рынка «ИИ-парадокс»: бизнес признаёт стратегическую важность искусственного интеллекта, но не спешит переходить к внедрению.
Минцифры РФ создало рабочую группу для борьбы с противоправным использованием дипфейков
Министерство цифрового развития, связи и массовых коммуникаций России сформировало межведомственную рабочую группу, целью которой станет противодействие незаконному использованию технологий типа дипфейк.
AMD выпустила критическое обновление безопасности для процессоров и платформ
Компания AMD опубликовала новый бюллетень безопасности, в котором описаны несколько важных уязвимостей, затрагивающих процессоры и платформы AMD.
Эксперты фиксируют, что злоумышленники все чаще используют резидентные прокси
Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам.
Фишинг через календарь: как Google Gemini можно использовать для атак
Исследователи по безопасности из компании Miggo рассказали о необычном способе эксплуатации уязвимости, который злоумышленники могут использовать для распространения фишинга и вредоносных ссылок - через пригласительные события в календаре, инициированные ИИ-ассистентом Google Gemini.
Группа Everest заявила о крупной атаке на McDonald’s и похищении почти 1 ТБ данных
Крупная вымогательская группировка Everest ransomware gang, ранее известная по атакам на аэропорты и другие крупные организации, объявила, что стала новым злоумышленником, нацеленным на подразделение McDonald’s в Индии.
Критическая уязвимость в Modular DS Plugin затронула более 40 000 сайтов
Исследователи по безопасности обнаружили критическую уязвимость повышения привилегий в популярном плагине Modular DS Plugin для WordPress, которой уже активно пользуются злоумышленники в реальных атаках.