Campanha usou senhas vazadas e falhas de política para acessar contas corporativas.
Uma campanha de força bruta contra ambientes Microsoft 365 gerou mais de 81 milhões de tentativas de login em duas semanas. Segundo a Huntress, 78 contas foram comprometidas em 64 organizações. O ponto crítico foi combinar senhas já vazadas com políticas de MFA que deixavam um fluxo de autenticação sem cobertura.
Entre 12 e 26 de junho, uma campanha de password spraying mirou ambientes Microsoft 365. A tática não é testar milhares de senhas contra uma única conta, e sim disparar poucas combinações de usuário e senha, ainda válidas e já expostas em vazamentos anteriores, contra muitas contas corporativas ao mesmo tempo.
De acordo com a Huntress, a atividade passou de 81 milhões de tentativas de login em duas semanas. A empresa confirmou o comprometimento de 78 contas Microsoft em 64 organizações, com pico de atividade no dia 22 de junho.
Os atacantes tentaram se autenticar pelo Azure CLI, a interface de linha de comando que administradores usam para gerenciar recursos em nuvem, como máquinas virtuais, aplicações, bancos de dados e automações. É um caminho legítimo, o que ajuda a mascarar o abuso.
Quando um par de usuário e senha funcionava, o acesso seguia por um mecanismo chamado ROPC, ligado ao protocolo OAuth. Em termos práticos, era um fluxo de login que, em muitos ambientes, ficava de fora das regras de verificação extra. Assim, mesmo empresas com MFA ativo permaneciam expostas quando a política do Azure AD não exigia o segundo fator também nesse tipo de autenticação.
Quem usa Microsoft 365 deve procurar rastros compatíveis com tentativas em massa e acessos fora do padrão nos registros de autenticação.
A lição central é direta: não basta "ter MFA", é preciso garantir que ele cubra todos os caminhos usados para entrar no ambiente Microsoft 365. Um único fluxo descoberto anula boa parte da proteção.
Ajuda muito, mas só quando está bem configurado. Neste caso, várias empresas tinham MFA, porém a política não cobria o fluxo usado pelos atacantes.
Os invasores usaram combinações de usuário e senha ainda válidas que já haviam sido expostas em vazamentos anteriores.
Qualquer organização que use Microsoft 365, principalmente as que dependem de Acesso Condicional e MFA para proteger contas corporativas.
A MFA2GO ajuda sua empresa a revisar políticas de autenticação, fortalecer MFA e reduzir brechas em acessos corporativos ao Microsoft 365.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com