Campanha usou senhas já expostas e falhas de configuração para acessar contas corporativas.
Uma campanha agressiva contra ambientes Microsoft 365 gerou mais de 81 milhões de tentativas de login em duas semanas. Os ataques usaram combinações de usuário e senha já vazadas em incidentes antigos. Segundo a Huntress, 78 contas foram comprometidas em 64 organizações observadas.
Entre 12 e 26 de junho, uma campanha de login em massa mirou ambientes Microsoft 365. O volume impressiona: mais de 81 milhões de tentativas em apenas duas semanas, com pico de atividade em 22 de junho, conforme observado pela Huntress.
Os alvos eram contas corporativas. O método não passava por enganar o usuário com uma mensagem falsa. Os invasores simplesmente testavam combinações de usuário e senha que ainda eram válidas e que já haviam aparecido em vazamentos anteriores, apostando na reutilização de credenciais.
Os invasores tentaram autenticar usando a Azure CLI, uma ferramenta da Microsoft que administradores usam para gerenciar recursos em nuvem. É um caminho legítimo de administração, mas que vira alvo fácil quando as regras de acesso não estão bem ajustadas.
Ao encontrar uma senha correta, o acesso acontecia por um mecanismo chamado ROPC, que permite enviar usuário e senha diretamente para autenticação. O problema descrito no caso é que muitas empresas tinham autenticação multifator, só que a política não cobria esse fluxo específico. O MFA existia, mas não era exigido nesse caminho, e foi exatamente por essa brecha que os invasores passaram.
Empresas que usam Microsoft 365 deveriam revisar os registros de acesso, com atenção redobrada ao período citado. Vale observar:
A lição central é direta: ativar MFA não basta. É preciso confirmar se ele cobre todos os caminhos de autenticação usados no ambiente Microsoft 365, inclusive os administrativos.
Não necessariamente. No caso descrito, muitas empresas tinham MFA, mas a configuração não cobria o fluxo usado pelos invasores.
É quando o invasor testa combinações de usuário e senha obtidas em vazamentos antigos, esperando que algumas ainda funcionem.
Revise registros de login, valide políticas de acesso condicional e trate senhas antigas ou repetidas como prioridade de correção.
A LC SEC ajuda sua organização a revisar acessos Microsoft 365, fortalecer MFA, identificar credenciais expostas e reduzir riscos de invasão por senhas comprometidas.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io