Um único agente mal-intencionado disparou 81 milhões de tentativas de login contra contas Microsoft 365 em apenas 14 dias, expondo falhas de autenticação que podem afetar empresas de todos os portes — inclusive a sua.
O que aconteceu?
Entre 12 e 26 de junho, a empresa de cibersegurança Huntress detectou um password spray massivo: o invasor testa senhas comuns (como “Verão2024!”) em milhares de contas, apostando que alguém ainda usa combinações fracas. O volume foi tão grande que, somente entre os clientes monitorados pela Huntress, pelo menos 78 contas foram comprometidas. O número real pode ser muito maior, já que o ataque foi direcionado a usuários aleatórios da plataforma Microsoft.
Um único endereço, milhões de tentativas
Todo o tráfego malicioso veio de um bloco de endereços IPv6 controlado pelo provedor LSHIY LLC. Após ser notificado, o provedor encerrou o acesso do cliente responsável, mas o dano já estava feito: 30 empresas tiveram tentativas concentradas no dia 22 de junho, indicando um pico repentino na ofensiva.
Brecha explorada: OAuth ROPC sem MFA efetivo
O atacante reutilizou credenciais válidas por meio do fluxo OAuth ROPC (Resource Owner Password Credentials), que emite um token de acesso quando o usuário fornece login e senha corretos. A “porta” estava aberta porque o MFA (autenticação multifator) não cobria todos os cenários:
- MFA configurado apenas para apps específicos (ex.: portais de administração), mas não para a Azure CLI, vetor usado no ataque.
- MFA habilitado só para grupos selecionados (p. ex., administradores), deixando usuários “comuns” vulneráveis.
Por que isso importa para você?
Se a sua empresa (ou você, como usuário doméstico) confia no Microsoft 365 para e-mails, documentos do Office ou armazenamento em nuvem, uma invasão pode expor dados confidenciais, projetos em andamento e até credenciais de serviços bancários. Nos piores casos, o cibercriminoso aplica ransomware ou usa o acesso à conta para enganar colegas e clientes.
Como reduzir o risco agora mesmo
1. Reveja a política de MFA: aplique a exigência a Todas as Aplicações em Nuvem e a todos os usuários, não apenas admins.
2. Desative o fluxo ROPC: se sua operação não depende dele, bloqueie-o nas configurações do Azure AD.
3. Aposte em senhas fortes + gerenciador: evite palavras de dicionário; considere frases longas e únicas.
4. Considere chaves de segurança físicas: hardware como YubiKey oferece MFA resistente a phishing e integra-se ao Microsoft 365.
5. Monitore logs de login: picos de tentativas de endereços inusuais podem sinalizar ataque em curso.
Comparativo: como o ataque se diferencia de incidentes anteriores?
Tradicionalmente, password spraying baseia-se em IPv4 distribuído para mascarar a origem. O uso de um único bloco IPv6 evidencia que o invasor confiou na falta de bloqueio automático para tráfego “novo” e volumoso. É uma evolução que exige reforço nas políticas de limitação de tentativas e análise de comportamento.
Imagem: Maxwell Cooter
Impacto no bolso — e na sua produtividade
Uma conta comprometida pode resultar em:
- Paralisação de projetos enquanto sua equipe restaura arquivos ou lida com ransomware.
- Custos extras com consultoria de resposta a incidentes e multas de conformidade (LGPD).
- Perda de confiança perante clientes que veem seus dados expostos.
Em médio prazo, investir em MFA abrangente e em hardware de autenticação é mais barato que pagar pelo prejuízo depois.
Próximos passos para administradores e usuários finais
• Acesse o portal Entra ID (antigo Azure AD) e ative Security Defaults ou políticas condicionais mais rígidas.
• Eduque colaboradores sobre boas práticas de senha e a importância do segundo fator.
• Mantenha softwares de segurança — inclusive antivírus e EDR — atualizados, mesmo em estações que só acessam serviços em nuvem.
Ataques como esse mostram que dependemos cada vez mais de camadas extras de proteção. E, quando o assunto é segurança, não existe atalho: vale conferir agora mesmo se a sua conta Microsoft 365 está realmente blindada.
Com informações de Computerworld