近期，微軟遭遇了一起內(nèi)部系統(tǒng)故障事件，該事件導(dǎo)致上周部分Entra賬號(hào)被鎖定，波及范圍涉及多個(gè)組織。

據(jù)悉，這次事件的起因是微軟內(nèi)部系統(tǒng)在處理用戶(hù)短期刷新令牌（user refresh tokens）時(shí)出現(xiàn)了錯(cuò)誤。按照標(biāo)準(zhǔn)流程，系統(tǒng)本應(yīng)只記錄令牌的元數(shù)據(jù)（metadata），但此次卻錯(cuò)誤地記錄了部分用戶(hù)的實(shí)際令牌信息。

問(wèn)題發(fā)生在4月18日，微軟及時(shí)發(fā)現(xiàn)并修正了這一錯(cuò)誤。為保護(hù)用戶(hù)賬戶(hù)安全，公司決定對(duì)涉及錯(cuò)誤的令牌進(jìn)行失效處理。然而，這一操作意外觸發(fā)了Entra ID Protection系統(tǒng)的安全警報(bào)，系統(tǒng)誤判用戶(hù)憑據(jù)可能已泄露，因此自動(dòng)鎖定了相關(guān)賬戶(hù)。

最初，受影響的客戶(hù)誤以為賬戶(hù)鎖定與新部署的企業(yè)應(yīng)用程序“MACE Credential Revocation”有關(guān)，因?yàn)樵搼?yīng)用程序恰好在警報(bào)發(fā)出前不久被安裝。這一誤解給問(wèn)題的排查帶來(lái)了一定困擾。

隨后，微軟向受影響組織的管理員發(fā)送了咨詢(xún)意見(jiàn)，明確指出問(wèn)題的根源在于公司內(nèi)部系統(tǒng)錯(cuò)誤，并非新應(yīng)用程序所致。微軟還強(qiáng)調(diào)，目前沒(méi)有證據(jù)表明這些令牌遭到了未經(jīng)授權(quán)的訪問(wèn)。一旦發(fā)現(xiàn)任何未經(jīng)授權(quán)訪問(wèn)的跡象，微軟將立即啟動(dòng)標(biāo)準(zhǔn)的安全事件響應(yīng)和溝通程序。

為了恢復(fù)受影響賬戶(hù)的訪問(wèn)權(quán)限，微軟建議受影響的客戶(hù)在Microsoft Entra中為標(biāo)記的用戶(hù)提供“確認(rèn)用戶(hù)安全”的反饋。同時(shí)，微軟承諾將在調(diào)查結(jié)束后發(fā)布事件后審查報(bào)告（PIR），并分享給所有受影響的客戶(hù)，以便他們了解事件的詳細(xì)情況和微軟的應(yīng)對(duì)措施。

此次事件再次提醒了企業(yè)和個(gè)人用戶(hù)，網(wǎng)絡(luò)安全無(wú)小事，任何微小的系統(tǒng)錯(cuò)誤都可能帶來(lái)嚴(yán)重的連鎖反應(yīng)。因此，加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，完善網(wǎng)絡(luò)安全措施，對(duì)于保障個(gè)人和組織的信息安全至關(guān)重要。