Uma campanha massiva de password spraying comprometeu pelo menos 78 contas Microsoft em 64 organizações, após mais de 81 milhões de tentativas de login num período de duas semanas. De acordo com a empresa de cibersegurança Huntress, o ataque explorou o Azure CLI através do fluxo OAuth Resource Owner Password Credentials (ROPC), um método já obsoleto que contorna os tradicionais pedidos de autenticação multifator (MFA).
Além disso, os atacantes utilizaram listas de credenciais previamente expostas, aproveitando palavras-passe que nunca foram alteradas. A atividade teve origem em intervalos de endereços IPv6 associados à LSHIY LLC, um fornecedor de infraestrutura de internet com ligações a várias localizações internacionais.
Entretanto, registou-se um pico significativo a 22 de junho, quando 30 contas foram comprometidas num único dia, demonstrando uma escalada rápida e coordenada da campanha.
Falhas no MFA e aumento das ameaças no ecossistema Microsoft
Apesar de muitas organizações já utilizarem MFA, foram identificadas falhas críticas na sua implementação. Em vários casos, as políticas de acesso condicional aplicavam-se apenas a determinadas aplicações ou grupos de utilizadores, enquanto outras incluíam exceções baseadas em localização – facilmente contornadas pelos atacantes.
Por conseguinte, estas lacunas permitiram que o ataque tivesse sucesso mesmo em ambientes aparentemente protegidos. Paralelamente, a Huntress indica que os ataques de credential spraying aumentaram mais de 155 vezes nos últimos seis meses, evidenciando uma tendência preocupante.
Este cenário insere-se num contexto mais amplo de ameaças ao ecossistema Microsoft 365. Desde fevereiro, plataformas como o EvilTokens têm explorado fluxos de autenticação alternativos para roubar tokens OAuth, contornando o MFA. De forma semelhante, o FBI já alertou para ferramentas como o Kali365, que utilizam técnicas idênticas.
Perante este panorama, os especialistas recomendam a aplicação rigorosa de políticas de acesso condicional, exigindo MFA para todos os utilizadores, aplicações e tipos de cliente, bem como a restrição do acesso ao Azure CLI apenas a utilizadores autorizados.
Fica ainda mais conectado:

