Uma botnet com 130 mil dispositivos está operando uma campanha de password spray em larga escala, buscando localizar ambientes Microsoft 365 que ainda usam um processo de autenticação que a Microsoft vem eliminando: a campanha busca configurações do Microsoft 365 que ainda usam “logins não interativos com autenticação básica”, de acordo com um relatório do SecurityScorecard.
Leia também
Com Windows 365, Microsoft leva PCs para nuvem
Microsoft explica por que Office 365 ficou inacessível
Os logins não interativos acontecem quando um usuário se conecta automaticamente a serviços com credenciais que já estavam armazenadas devido a alguma autenticação anterior. Em alguns ambientes do Microsoft 365, os logins não interativos podem acontecer com autenticação básica — ou apenas um nome de usuário e senha armazenados — observa a SecurityScorecard.
É aí que a botnet faz seu trabalho, pegando credenciais de login roubadas em outro lugar e testando-as, em grandes quantidades, contra configurações potencialmente vulneráveis do Microsoft 365, diz o relatório. A Microsoft tem trabalhado para encerrar os recursos de autenticação básica para várias tecnologias, mas pelo menos uma — o padrão SMTP para e-mail — os manterá em vigor até setembro, de acordo com uma publicação da empresa no ano passado.
A SecurityScorecard diz que a técnica da campanha de pulverização de senhas essencialmente “ignora as proteções de login modernas e evita a aplicação de MFA [autenticação multifator], criando um ponto cego crítico para as equipes de segurança”. Os pesquisadores estão pedindo que as equipes de segurança prestem muita atenção aos logs de login não interativos, “que geralmente são ignorados”, para evidências de atividade ilícita. Se afetados, os administradores devem imediatamente “rodar as credenciais pertencentes a quaisquer contas da organização nos logs”.
Os invasores provavelmente são “afiliados à China”, diz o relatório, citando atividades vinculadas a serviços de nuvem baseados na China, mas “a atribuição está em andamento”.
