MACE vs. Administradores: Microsoft baneó por error decenas de miles de cuentas

A finales de la semana pasada, administradores de Windows de diversas organizaciones se enfrentaron a una oleada de bloqueos masivos de cuentas. La causa fue un nuevo mecanismo de verificación de filtraciones de datos en Microsoft Entra ID, anteriormente conocido como Azure Active Directory. Según los afectados, el sistema automático de seguridad reaccionó erróneamente ante supuestas contraseñas comprometidas, aunque no se registraron signos de intrusión.

Las alertas comenzaron a llegar de administradores en todo el mundo. En hilos especializados de Reddit, los administradores reportaron notificaciones múltiples por parte de Entra ID, según las cuales las cuentas de sus usuarios supuestamente aparecían entre datos filtrados en la dark web o publicados en otras fuentes sospechosas. Inmediatamente después, el sistema bloqueó el acceso a dichas cuentas.

La situación afectó especialmente a los proveedores de servicios gestionados (MSP): según uno de los participantes del foro, alrededor de un tercio de las cuentas en su infraestructura fueron bloqueadas. Supuso que el problema también afectó a los clientes de la empresa.

En la práctica, las cuentas bloqueadas estaban protegidas mediante autenticación multifactor, no mostraban señales de intrusión y no coincidían con bases de datos de filtraciones conocidas, incluyendo Have I Been Pwned. Sin embargo, Microsoft Entra reaccionaba automáticamente a coincidencias sospechosas y aplicaba una política de bloqueo estricto.

La situación se aclaró más tarde, cuando una de las organizaciones afectadas recibió una explicación por parte de un ingeniero de Microsoft. Resultó que la causa de los bloqueos masivos fue un fallo en la nueva aplicación MACE Credential Revocation, que se había implementado recientemente dentro de Entra ID. Esta solución está diseñada para detectar automáticamente credenciales comprometidas y restringir el acceso de inmediato. Sin embargo, durante su despliegue ocurrió un error que llevó a Entra a identificar erróneamente un gran número de contraseñas únicas y seguras como filtradas.

Algunos administradores señalaron que, antes de que surgieran los problemas, apareció de forma repentina una nueva integración corporativa con la aplicación MACE en sus arrendatarios, y los errores en los registros indicaban el código 53003, relacionado con las políticas de acceso condicional. Los empleados de Microsoft recomendaron reclasificar manualmente los incidentes de «intrusión» a «bloqueo».

La confirmación de la magnitud del fallo también vino de un proveedor de servicios MDR, que en una sola noche recibió más de 20 mil notificaciones de Microsoft sobre supuestas «filtraciones» de datos en distintas organizaciones.

Hasta el momento no hay comentarios oficiales por parte de Microsoft, aunque con alta probabilidad el error se relaciona con una configuración incorrecta o una implementación apresurada de MACE. Los especialistas aconsejan examinar cuidadosamente cada incidente de este tipo y no ignorar las alertas del sistema, incluso si parecen falsas. Al mismo tiempo, si las notificaciones llegan de forma masiva y repentina, lo más probable es que se deban a una actualización automática de Entra ID.

La magnitud del fallo demuestra lo peligroso que puede ser implementar incluso funciones útiles sin pruebas previas. Los administradores que utilizan Microsoft Entra en sus organizaciones ahora se encuentran a la espera de aclaraciones por parte de Microsoft y esperan una pronta solución del problema.