Uma agressiva campanha de password spraying contra ambientes Microsoft 365 gerou mais de 81 milhões de tentativas de login em um período de duas semanas, segundo relatório publicado ontem pela empresa de cibersegurança Huntress. A campanha, observada entre 12 e 26 de junho, resultou no comprometimento de 78 contas Microsoft em 64 organizações.
Funcionamento do ataque e bypass de MFA
O ator da ameaça tentou autenticar por meio da interface de linha de comando (CLI) do Azure da Microsoft, utilizando combinações válidas de nome de usuário e senha que haviam sido expostas em violações anteriores. Uma vez encontrado um par válido, o invasor autenticava via mecanismo OAuth ROPC (Resource Owner Password Credentials), contornando a autenticação multifator (MFA) em muitos ambientes devido a políticas de Acesso Condicional configuradas de forma insegura. O ROPC envia a senha diretamente para o endpoint /token sem um prompt interativo de MFA, e não oferece suporte para fluxos de autenticação modernos, como MFA ou SSO.
Configurações incorretas identificadas
A Huntress explicou que muitas das empresas comprometidas haviam implementado MFA por meio de uma Política de Acesso Condicional (CAP), mas o MFA não foi configurado para cobrir este fluxo específico que os atacantes usaram. Os pesquisadores destacaram configurações incorretas específicas que permitiram o bypass, incluindo: MFA aplicado apenas a aplicativos específicos, não a Todos os Cloud Apps; MFA aplicado apenas a grupos de usuários selecionados, como administradores; MFA exigido apenas de locais não confiáveis, permitindo tráfego de IPs que parecem originar-se de locais confiáveis; e políticas configuradas em modo somente relatório, ou seja, nunca foram aplicadas. Em alguns casos, os pesquisadores afirmam que não havia política de MFA alguma.
Dimensão da campanha e origem
A Huntress observou um aumento de mais de 155 vezes nos ataques de password spraying, com as organizações agora tendo uma média de 1.964 tentativas de login com falha por locatário a cada mês. A atividade se originou de um intervalo IPv6 pertencente à LSHIY LLC (AS32167). Os pesquisadores divulgaram suas descobertas à LSHIY por meio do portal de denúncia de abusos da empresa, mas não haviam recebido resposta até o momento da publicação do relatório. Não está claro quem está por trás da campanha mais recente, embora a atividade seja atribuída a esse intervalo de IPs.






