Niste sami, Azure višefaktorska provjera autentičnosti ponovno je pala

Microsoftova višefaktorska provjera autentičnosti ponovno je pala za neke kupce. Microsoft je potvrdio problem na svom statusnu stranicu i spomenuo da pogođeni korisnici mogu naići na pogreške isteka. Azure inženjeri svjesni su ovog problema i aktivno istražuju mogućnosti ublažavanja.

Važno je napomenuti da je samo prošli tjedan Microsoftova usluga višefaktorske provjere autentičnosti pala na nekoliko sati blokirajući milijune korisnika u pristupu raznim uslugama uključujući Office 365, Azure, Dynamics i druge usluge koje koriste Azure Active Directory za autentifikaciju. Microsoft je nedavno objavio sljedeću analizu uzroka ovog kvara.

Otkrivena su tri neovisna temeljna uzroka. Osim toga, nedostaci u telemetriji i praćenju usluga MFA-a odgodili su identifikaciju i razumijevanje ovih temeljnih uzroka što je uzrokovalo produljeno vrijeme ublažavanja. Prva dva temeljna uzroka identificirana su kao problemi na MFA frontend poslužitelju, oba uvedena u uvođenju ažuriranja koda koje je počelo u nekim podatkovnim centrima (DC) u utorak, 13. studenog 2018. i dovršeno u svim DC-ovima do petka, 16. studenog 2018. Kasnije je utvrđeno da se problemi aktiviraju nakon prekoračenja određenog prometnog praga, što se prvi put dogodilo rano u ponedjeljak (UTC) u Azure West Europe (EU) DC-ovima. Karakteristike jutarnjeg vršnog prometa u zapadnim državama EU-a bile su prve koje su prešle prag koji je pokrenuo bug. Treći temeljni uzrok nije uveden u ovom uvođenju i pronađen je kao dio istrage ovog događaja.

1. Prvi osnovni uzrok očitovao se kao problem kašnjenja u komunikaciji MFA frontenda s njegovim uslugama predmemorije. Ovaj problem je počeo pod velikim opterećenjem nakon što je dostignut određeni prometni prag. Nakon što su službe MFA-a doživjele ovaj prvi problem, vjerojatnije je da će pokrenuti drugi temeljni uzrok.
2. Drugi temeljni uzrok je stanje utrke u obradi odgovora s MFA pozadinskog poslužitelja koji je doveo do recikliranja procesa MFA prednjeg poslužitelja što može pokrenuti dodatno kašnjenje i treći osnovni uzrok (ispod) na MFA pozadinskom dijelu.
3. Treći identificirani osnovni uzrok, prethodno je bio neotkriven problem na pozadinskom MFA poslužitelju koji je pokrenuo drugi osnovni uzrok. Ovaj problem uzrokuje nakupljanje procesa na pozadinskom dijelu MFA-a što dovodi do iscrpljivanja resursa na pozadinskom dijelu u kojem trenutku nije bio u mogućnosti obraditi bilo kakve daljnje zahtjeve s MFA sučelja dok se inače u našem praćenju čini zdravim.

Microsoft je također spomenuo da će poduzeti sljedeće korake kako bi izbjegli takve probleme u budućnosti.

• Pregledajte naše postupke implementacije ažuriranja kako biste bolje identificirali slične probleme tijekom naših ciklusa razvoja i testiranja (dovršetak do prosinca 2018.)
• Pregledajte usluge nadzora kako biste identificirali načine za smanjenje vremena otkrivanja i brzo vraćanje usluge (dovršetak do prosinca 2018.)
• Pregledajte naš postupak zadržavanja kako biste izbjegli širenje problema na druge centre podataka (dovršetak do siječnja 2019.)
• Ažurirajte komunikacijski proces na nadzornoj ploči i alatima za praćenje kako biste otkrili probleme s objavljivanjem odmah tijekom incidenata (dovršetak do prosinca 2018.)

Objavu ćemo ažurirati najnovijim informacijama o današnjem prekidu rada čim ih Microsoft dostavi.

Ažuriranje od Microsofta:

TRENUTNO UBLAŽAVANJE: Inženjeri su trenutno u procesu ciklusa pozadinskih usluga odgovornih za obradu MFA zahtjeva. Ovaj korak ublažavanja provodi se regija po regija s većim brojem regija. Inženjeri ponovno procjenjuju učinak nakon završetka svake regije. Inženjeri su također utvrdili da je problem sa sustavom naziva domene (DNS) uzrokovao neuspjeh zahtjeva za prijavom, ali je taj problem ublažen i inženjeri ponovno pokreću infrastrukturu za provjeru autentičnosti.