Microsoft, Entra ID koruma sistemindeki yaygın uyarıları tetikleyen ve karanlık web’deki sözde kimlik bilgisi sızıntıları nedeniyle yüksek risk olarak işaretleyen yeni bir konuyu kabul etti.
Uyarılar, dahili bir token günlüğü hatası ve MACE kimlik bilgisi iptali adı verilen yeni bir güvenlik özelliğinin piyasaya sürülmesinin bir kombinasyonuna bağlanmış ve küresel olarak sistem yöneticileri arasında karışıklığa neden olmuştur.
Token kaydı sorunu kıvılcım uyarıları
Microsoft, yalnızca günlüğe kaydetme meta veri uygulamasının aksine, kullanıcıların küçük bir yüzdesi için kısa ömürlü kullanıcı yenileme jetonlarının bir alt kümesini yanlışlıkla günlüğe kaydettiğini belirledi.
.png
)
Sorun derhal düzeltildi ve Microsoft, kullanıcıları korumak için etkilenen jetonları geçersiz kıldı. Bununla birlikte, bu geçersiz kılma süreci, 20 Nisan 2025’te UTC 04:00 ile 09:00 arasında Entra ID korumasında kasıtsız olarak oluşturuldu ve bu da kullanıcıların kimlik bilgilerinin tehlikeye atılmış olabileceğini gösterdi.
Microsoft, bu belirteçlere yetkisiz erişim kanıtı olmadığını belirtti, ancak herhangi bir tespit edilirse standart güvenlik olayı yanıt protokollerini takip edecektir.
Mace Sunum sahte pozitifleri tetikler
Sorunu birleştiren Microsoft, aynı hafta sonu boyunca yeni bir güvenlik özelliği olan MACE kimlik bilgileri iptali yaptı.
Bu özellik, karanlık web ve diğer kaynaklardaki eşleşmeleri kontrol ederek potansiyel olarak tehlikeye atılan kimlik bilgilerini tespit etmek ve yanıtlamak için tasarlanmıştır.
Bununla birlikte, sunum, güçlü, benzersiz şifrelere ve çok faktörlü kimlik doğrulamaya (MFA) sahip olmasına rağmen hesaplar yüksek risk olarak işaretlenerek yaygın yanlış pozitiflere yol açtı.
Reddit de dahil olmak üzere sosyal medya yayınları ve çevrimiçi forumlar benzer deneyimler bildirdi, bazı yöneticiler şifresiz hesapların bile etkilendiğini belirterek uyarıların hatalı olduğunu gösteriyor.
Bir yönetici Reddit’te paylaştı: “Karanlık Web’de geçerli kimlik bilgileriyle bulunan hesaplar için yarım düzine uyarı aldım.… Altı hesabın ortak noktası yok… riskli işaretler yok, başka risk tespiti yok, herkes MFA.”
Kullanıcı, hesapların hiçbir eşleşme göstermediğini belirtti (HIBP), bir Microsoft hatası şüphelerini artırdı.
Microsoft’un yanıtı ve müşteri eylemleri
Microsoft, etkilenen müşterilere belgelerde ayrıntılı olarak açıklandığı gibi hatalı yüksek riskli bayrakları çözmek için Entra ID korumasındaki “Kullanıcı Güvenli Onay” özelliğini kullanmalarını tavsiye etti.
Bu özellik, yöneticilerin etkilenen kullanıcılar için risk durumunu manuel olarak temizlemelerini sağlar. Ayrıca, Microsoft, kilitli hesaplar için parolaların sıfırlanmasını ve MFA’nın etkinleştirilmesini önerir, ancak etkilenen birçok hesap zaten bu önlemler mevcuttur.
Yöneticiler ayrıca, AADSTS50053 gibi hesap kilitlemelerini gösteren hata kodları için Microsoft Entra Yönetici Merkezi’ndeki oturum açma günlüklerini de inceleyebilir.
Devam eden soruşturma ve öneriler
Microsoft, hem jeton kaydı sorununu hem de MACE sunumunun yanlış pozitiflerini araştırmak için bir olay sonrası inceleme (PIR) yürütüyor. PIR, resmi kanallar ve açık destek durumları aracılığıyla etkilenen müşterilerle paylaşılacaktır. Müşteriler, Azure Hizmet Sağlığı uyarılarını PIR ve gelecekteki Azure hizmet sorunları hakkında güncellemeler alacak şekilde yapılandırmaya teşvik edilir.
Bu uyarılarla karşı karşıya olan yöneticiler:
- Kullanıcı kasasını onaylayın: Yanlış yüksek riskli bayrakları temizlemek için Entra ID koruma yöneticisi özelliğini kullanın.
- Oturum açma günlüklerini inceleyin: Kilitleme ile ilgili hata kodları ve olağandışı etkinlik olup olmadığını kontrol edin.
- Şifreleri sıfırla: Önlem olarak, ihlal edilmemiş olsa bile, etkilenen hesaplar için şifreleri sıfırlayın.
- Karanlık Web İzlemeyi Etkinleştir: Kimlik bilgisi sızıntılarını bağımsız olarak doğrulamak için üçüncü taraf araçlarını kullanın.
- Açık Destek Kılıfı: Sorunlar devam ederse daha fazla rehberlik için Microsoft Destek ile iletişime geçin.
Olay, BT profesyonelleri arasında hayal kırıklığına yol açtı, X’teki yazılar, topuzun piyasaya sürülmesini yanlış alarmlar nedeniyle hafta sonlarını “mahvediyor” olarak tanımladı.
Bir kullanıcı, “Microsoft, MACE adlı yeni bir Dark Web Kimlik Bilgisi Algılama Uygulaması yayınladı ve bu Paskalya Hafta Sonu, Cumartesi günümü birincil M365/Entra ID hesabımdaki yanlış alarmı ile derhal mahveden.” Diye belirtti. Başka bir yazı ölçeği vurguladı ve bir MDR sağlayıcısının bir gecede 20.000’den fazla bildirim aldığını belirtti.
Bu olay, Microsoft’un Salı günü Nisan 2025 yaması gibi, aktif olarak sömürülen sıfır gün (CVE-2025-29824) de dahil olmak üzere 126 güvenlik açığını ele alan diğer son siber güvenlik zorluklarını takip ediyor. Entra sorunu ile ilgisi olmasa da, Microsoft’un güvenlik süreçleri üzerindeki artan incelemenin altını çiziyor.
Microsoft’un hızlı kabulü ve düzeltici eylemleri, kullanıcı güvenliğine olan bağlılığını göstermektedir, ancak yanlış pozitifler yeni güvenlik özelliklerini ölçeklendirmenin zorluklarını vurgulamıştır.
Yöneticiler, sistemlerinin güvenli kalmasını sağlamak için uyanık kalmaları, Microsoft’un rehberliğini takip etmeleri ve harici izleme araçlarından yararlanmaları istenir. Daha fazla güncelleme için müşteriler Azure Service Health Portalını izleyebilir veya doğrudan Microsoft Destek ile iletişime geçebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin