Una actualización de seguridad de Microsoft Entra está impidiendo el acceso de los usuarios a sus cuentas.

Varios administradores de sistemas han reportado un aumento en el bloqueo masivo de cuentas tras una actualización en Microsoft Entra ID. Este fenómeno ha sido atribuido, en gran medida, a positivos falsos generados por una nueva aplicación de detección de credenciales filtradas que forma parte de Entra ID, conocida como MACE Credential Revocation. Los administradores sostienen que las cuentas afectadas poseían contraseñas únicas y no utilizadas, lo que indica que no se trató de un ataque dirigido.

Un usuario compartió en un foro que varias cuentas se bloquearon debido a que supuestamente sus credenciales estaban en la dark web. Sin embargo, al analizar los perfiles de los usuarios afectados, no se encontraron similitudes que sugirieran un patrón específico de ataque. Otro administrador destacó que su situación fue alarmante debido a la falta de detecciones riesgosas y que todos en su equipo utilizaban autenticación multi-factor (MFA). Esto elevó el riesgo de algunos usuarios de cero a un nivel alto sin explicaciones claras.

Comentarios de otros administradores indican que también enfrentaron problemas semejantes. Uno de ellos compartió una respuesta de Microsoft que confirmaba que se habían generado alertas erróneas en Entra ID Protection relacionadas con credenciales comprometidas. Se mencionó que el 20 de abril, entre las 4 AM UTC y las 9 AM UTC, Microsoft detectó un problema interno en el registro de tokens de actualización de usuario y que esto fue corregido rápidamente.

Por otro lado, algunos usuarios recibieron mensajes de error vinculados a políticas de acceso condicional, mientras que otros fueron informados de una supuesta falla regional aunque no había incidentes registrados. Microsoft ha sido contactado para aclarar los diversos informes y la confusión entre sus usuarios.