Microsoft 365 sob ataque, revise seu MFA
Campanha usou senhas vazadas e falhas de política para acessar contas corporativas.

Resumo rapido
Uma campanha de força bruta contra ambientes Microsoft 365 gerou mais de 81 milhões de tentativas de login em duas semanas. Segundo a Huntress, 78 contas foram comprometidas em 64 organizações. O ponto crítico foi combinar senhas já vazadas com políticas de MFA que deixavam um fluxo de autenticação sem cobertura.
Neste artigo voce vai aprender:
- O que foi a campanha contra contas Microsoft 365.
- Por que senhas vazadas continuam sendo um risco real.
- Como uma configuração incompleta de MFA pode deixar brechas.
- Quais sinais merecem atenção nos registros de acesso.
- Quais ações revisar agora para reduzir o risco.
O que aconteceu
Entre 12 e 26 de junho, uma campanha de password spraying mirou ambientes Microsoft 365. A tática não é testar milhares de senhas contra uma única conta, e sim disparar poucas combinações de usuário e senha, ainda válidas e já expostas em vazamentos anteriores, contra muitas contas corporativas ao mesmo tempo.
De acordo com a Huntress, a atividade passou de 81 milhões de tentativas de login em duas semanas. A empresa confirmou o comprometimento de 78 contas Microsoft em 64 organizações, com pico de atividade no dia 22 de junho.
Como o ataque funcionou
Os atacantes tentaram se autenticar pelo Azure CLI, a interface de linha de comando que administradores usam para gerenciar recursos em nuvem, como máquinas virtuais, aplicações, bancos de dados e automações. É um caminho legítimo, o que ajuda a mascarar o abuso.
Quando um par de usuário e senha funcionava, o acesso seguia por um mecanismo chamado ROPC, ligado ao protocolo OAuth. Em termos práticos, era um fluxo de login que, em muitos ambientes, ficava de fora das regras de verificação extra. Assim, mesmo empresas com MFA ativo permaneciam expostas quando a política do Azure AD não exigia o segundo fator também nesse tipo de autenticação.
Sinais de alerta
Quem usa Microsoft 365 deve procurar rastros compatíveis com tentativas em massa e acessos fora do padrão nos registros de autenticação.
- Muitas tentativas de login em curto período, especialmente entre 12 e 26 de junho.
- Registros associados ao Azure CLI sem motivo operacional claro.
- Contas válidas acessadas a partir de locais, horários ou padrões incomuns.
- Contas que passaram na autenticação apesar de a empresa acreditar que o MFA cobria todos os acessos.
- Pico anormal de eventos próximo ao dia 22 de junho.
Como se proteger
A lição central é direta: não basta "ter MFA", é preciso garantir que ele cubra todos os caminhos usados para entrar no ambiente Microsoft 365. Um único fluxo descoberto anula boa parte da proteção.
- Revise as políticas de Acesso Condicional e confirme se fluxos como o do Azure CLI também exigem MFA.
- Troque as senhas de contas afetadas ou suspeitas, sobretudo se já apareceram em vazamentos anteriores.
- Verifique os logs de autenticação em busca de acessos bem-sucedidos após muitas falhas seguidas.
- Reduza o uso de contas administrativas no dia a dia e monitore de perto os acessos privilegiados.
- Crie alertas para volumes incomuns de tentativa de login.
Checklist pratico
- Levante todos os registros de login do Microsoft 365 no período de 12 a 26 de junho.
- Filtre eventos relacionados ao Azure CLI e valide se eram esperados.
- Revise as políticas de MFA e Acesso Condicional para cobrir todos os fluxos de autenticação.
- Force a troca de senha em contas suspeitas e investigue logins bem-sucedidos fora do padrão.
- Ative alertas para tentativas de login em massa e para autenticações sem MFA.
Perguntas frequentes
Ter MFA no Microsoft 365 resolve o problema?
Ajuda muito, mas só quando está bem configurado. Neste caso, várias empresas tinham MFA, porém a política não cobria o fluxo usado pelos atacantes.
O ataque explorou uma senha fraca?
Os invasores usaram combinações de usuário e senha ainda válidas que já haviam sido expostas em vazamentos anteriores.
Quem deve revisar o ambiente?
Qualquer organização que use Microsoft 365, principalmente as que dependem de Acesso Condicional e MFA para proteger contas corporativas.
Proteja sua empresa com a MFA2GO
A MFA2GO ajuda sua empresa a revisar políticas de autenticação, fortalecer MFA e reduzir brechas em acessos corporativos ao Microsoft 365.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.
