«Причиной ложного срабатывания стал процесс дебага, в ходе которого произвели аннулирование токенов обновления. Токены обновления — элементы аутентификации в Microsoft 365, с помощью которых поддерживается активная сессия в корпоративной сети. Процесс очистки токенов инженеры произвели после найденной уязвимости при проверке записей в журналах систем, где обнаружились избыточные записи о проверочных идентификаторах, вместо их метаданных. Итог очистки токенов привел к массовым уведомлениям от службы Microsoft Entra ID Protection о возможной компрометации учетных данных, что и привело к превентивным мерам – блокировкам», — отметила инженер-аналитик Лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
Microsoft напоминают, что аннулирование токенов было произведено в целях защиты, фактов несанкционированного доступа к учетным записям клиентов через уязвимость зарегистрировано не было. Для восстановления доступа клиентам рекомендовано использовать опцию «Confirm User Safe» в Microsoft Entra.
Киберэксперт подчёркивает важность мониторинга способов и средств обработки токенов аутентификации в облачных средах. Администраторам систем рекомендуется проверить журналы безопасности Entra ID за указанный период на предмет очистки токенов, а также убедиться, что системы предоставления доступа для пользователей функционируют исправно.
«Для централизованного управления инфраструктурой рекомендуется внедрение программных комплексов, таких как Efros DefOps от компании "Газинформсервис". Централизованные средства защиты позволят решить широкий перечень задач в работе администраторов, начиная от контроля доступа и моделирования векторов атак, заканчивая детализированной настройкой и обновлением прав доступа пользователям», — объясняет специалист.
