Microsoft 365 sob ataque, saiba o risco
Campanha usou senhas já expostas e falhas de configuração para acessar contas corporativas.

Resumo rapido
Uma campanha agressiva contra ambientes Microsoft 365 gerou mais de 81 milhões de tentativas de login em duas semanas. Os ataques usaram combinações de usuário e senha já vazadas em incidentes antigos. Segundo a Huntress, 78 contas foram comprometidas em 64 organizações observadas.
Neste artigo voce vai aprender:
- O que foi a campanha contra contas Microsoft 365
- Por que senhas vazadas continuam sendo um risco real
- Como uma falha de configuração pode enfraquecer o MFA
- Quais sinais devem ser revisados nos registros de acesso
- Que ações tomar para reduzir o risco agora
O que aconteceu
Entre 12 e 26 de junho, uma campanha de login em massa mirou ambientes Microsoft 365. O volume impressiona: mais de 81 milhões de tentativas em apenas duas semanas, com pico de atividade em 22 de junho, conforme observado pela Huntress.
Os alvos eram contas corporativas. O método não passava por enganar o usuário com uma mensagem falsa. Os invasores simplesmente testavam combinações de usuário e senha que ainda eram válidas e que já haviam aparecido em vazamentos anteriores, apostando na reutilização de credenciais.
Como o ataque funcionou
Os invasores tentaram autenticar usando a Azure CLI, uma ferramenta da Microsoft que administradores usam para gerenciar recursos em nuvem. É um caminho legítimo de administração, mas que vira alvo fácil quando as regras de acesso não estão bem ajustadas.
Ao encontrar uma senha correta, o acesso acontecia por um mecanismo chamado ROPC, que permite enviar usuário e senha diretamente para autenticação. O problema descrito no caso é que muitas empresas tinham autenticação multifator, só que a política não cobria esse fluxo específico. O MFA existia, mas não era exigido nesse caminho, e foi exatamente por essa brecha que os invasores passaram.
Sinais de alerta
Empresas que usam Microsoft 365 deveriam revisar os registros de acesso, com atenção redobrada ao período citado. Vale observar:
- Grande volume de tentativas de login com falha espalhadas por contas diferentes.
- Acessos envolvendo Azure CLI fora do uso esperado pela equipe de TI.
- Logins bem-sucedidos logo após várias falhas para o mesmo usuário.
- Contas que acessaram serviços sem passar pelo MFA esperado.
- Atividade concentrada entre 12 e 26 de junho, especialmente em 22 de junho.
Como se proteger
A lição central é direta: ativar MFA não basta. É preciso confirmar se ele cobre todos os caminhos de autenticação usados no ambiente Microsoft 365, inclusive os administrativos.
- Revise políticas de acesso condicional: confirme se a exigência de MFA vale também para os fluxos usados pela Azure CLI.
- Troque senhas expostas: contas com senhas antigas, repetidas ou já vazadas devem ser tratadas como risco imediato.
- Monitore logins incomuns: acompanhe tentativas em massa, acessos por ferramentas administrativas e autenticações fora do padrão.
- Investigue contas afetadas: diante de qualquer sinal de acesso indevido, redefina credenciais e revise permissões.
Checklist pratico
- Levante os acessos do Microsoft 365 entre 12 e 26 de junho e destaque picos de falha ou sucesso fora do comum.
- Confirme se as políticas de MFA e acesso condicional cobrem autenticações via Azure CLI e fluxos equivalentes.
- Redefina senhas de contas suspeitas, priorizando usuários com credenciais reutilizadas ou expostas anteriormente.
Perguntas frequentes
Ter MFA ativado impede esse tipo de ataque?
Não necessariamente. No caso descrito, muitas empresas tinham MFA, mas a configuração não cobria o fluxo usado pelos invasores.
O que é ataque de tentativa com senhas vazadas?
É quando o invasor testa combinações de usuário e senha obtidas em vazamentos antigos, esperando que algumas ainda funcionem.
Minha empresa usa Microsoft 365. O que priorizar?
Revise registros de login, valide políticas de acesso condicional e trate senhas antigas ou repetidas como prioridade de correção.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua organização a revisar acessos Microsoft 365, fortalecer MFA, identificar credenciais expostas e reduzir riscos de invasão por senhas comprometidas.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

