Qué pasa cuando la autenticación multi-factor falla

Qué pasa cuando la autenticación multi-factor falla

El lunes 19 de Noviembre, alrededor de las 04:39 UTC, usuarios de los servicios de Office 365 y Azure alrededor del mundo comenzaron a experimentar problemas para iniciar sesión en sus cuentas. Al intentarlo, luego de ingresar la dirección de e-mail de la organización y la contraseña, se podía observar la clásica página de inicio de sesión aguardando la aprobación multi-factor o el ingreso del token de seis dígitos. Para el caso de la aprobación, el pedido nunca llegaba a la aplicación Microsoft Authenticator. Los tokens, por su parte, directamente no funcionaban, y los SMS no llegaban al usuario.
La página de estado de Office 365 informó acerca de la situación mediante la notificación de servicio MO165510 -que llegó unas cuantas horas más tarde de lo esperadoen la que confirmaban que los usuarios con MFA (autenticación multi-factor, por su nombre en inglés) habilitado podrían tener problemas para iniciar sesión.
Página de estado de Office 365
Y esto es lo que se veía en la página de estado de los servicios de Azure alrededor de las 10 AM hora Argentina.
Página de estado de Azure

¿Deshabilitar o no deshabilitar MFA?

Es un tema complejo. Definitivamente los administradores de Office 365 y Azure AD debieron haberse visto presionados por los usuarios -especialmente por los high-profile– para buscar una solución temporal al problema con el servicio y permitirles acceder a sus cuentas. La imposibilidad de completar el desafío MFA significa que el usuario no pueda conectarse a ningún servicio que dependa de su cuenta de Office 365/Azure AD (Azure Portal, Office 365 Portal, Webmail, Skype for Business, Teams, etc.). Una solución rápida sería que algún administrador con acceso a Azure AD deshabilite MFA para toda la organización hasta que el servicio se recupere, y luego vuelva a habilitarlo. Es un proceso muy sencillo, pero riesgoso si consideramos que el fallo en el servicio de MFA podría ser solo un eslabón de una cadena que en realidad busca finalmente que los usuarios no tengan MFA habilitado para obtener acceso a sus cuentas.
Deshabilitando la autenticación multi-factor con dos clicks
Todo esto asumiendo que algún administrador tiene su sesión iniciada, que ésta es aún válida, y que no tiene que volver a pasar el desafío de MFA. Claro está que, esta altura, todos los administradores ya deberían tener MFA habilitado por defecto. Pero este es tema para otro post.
Configuración de una regla de acceso condicional para forzar a los administradores globales a usar MFA

Cuenta de emergencia

Tener una cuenta de emergencia (breakglass account) con privlegios de administrador del tenant podría ser una solución, pero tiene que tratarse con mucho cuidado. Esto significa que tiene que existir un proceso debidamente documentado en el que se detalle qué personas deben estar presentes (físicamente) para obtener acceso a la ubicación segura en la que está contenida la contraseña de esta cuenta de emergencia. Algunos escenarios en los que podría aplicarse el uso de este tipo de cuentas están documentados en este artículo de Microsoft, que incluso brinda algunas recomendaciones sobre cómo almacenar su contraseña.
Recomendaciones sobre cómo almacenar la contraseña de una cuenta de emergencia
Finalmente, alrededor de las 19 UTC (si, 15 horas de interrupción/degradación), Microsoft confirmó que todos los servicios estaban nuevamente en línea. Según explicaron, las peticiones desde los servidores de MFA hacia Redis Cache (un servicio que almacena los datos en memoria en lugar de hacerlo en disco, para mejorar los tiempos de acceso) en Europa alcanzaron los límites operacionales permitidos, ocasionando latencia y tiempos de espera agotados. Al intentar redireccionar los recursos (failover) hacia la región de América del Norte apareció un segundo problema que puso a los servidores en un estado “no saludable” y, como consecuencia, el tráfico entrante comenzó a ser detenido de manera automática para evitar la saturación de los servicios.
No olviden volver a habilitar la autenticación multi-factor en sus tenants! 🙂
Hasta la próxima.