
Campanha de força bruta explorou um fluxo legado do OAuth para contornar políticas mal configuradas de autenticação multifator e afetou ao menos 64 organizações
Um ataque cibernético em larga escala contra a Interface de Linha de Comando (CLI) do Azure, da Microsoft, colocou empresas em alerta após comprometer pelo menos 78 contas corporativas em 64 organizações. Segundo pesquisadores da Huntress, os criminosos realizaram mais de 81 milhões de tentativas de login entre os dias 12 e 26 de junho, utilizando ataques automatizados de força bruta para explorar credenciais vazadas anteriormente.
- Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
- Confira nossos stories no Instagram e veja notícias como essa!
- Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
- Anuncie conosco aqui ou apoie o tecflow clicando neste link!
- Assine nossa newsletter neste link ou no LinkedIn!
- Siga o tecflow no tik tok!
A campanha teve origem em um intervalo de endereços IPv6 associado ao provedor de infraestrutura LSHIY LLC (AS32167) e chamou a atenção não apenas pelo volume de tentativas, mas também pela capacidade de contornar configurações incorretas de autenticação multifator (MFA) em ambientes corporativos.
Ataque explorou fluxo legado do OAuth
De acordo com a Huntress, os invasores utilizaram um mecanismo legado conhecido como Resource Owner Password Credentials (ROPC), um fluxo antigo do protocolo OAuth 2.0 que permite o envio direto de usuário e senha para obtenção de um token de acesso.
Embora esse método tenha sido descontinuado no OAuth 2.1, ele ainda permanece disponível em alguns ambientes e pode contornar determinadas políticas de Acesso Condicional (Conditional Access Policies – CAP) quando estas não estão corretamente configuradas.
A própria Microsoft recomenda que o ROPC não seja utilizado.
Segundo a empresa, esse fluxo é incompatível com autenticação multifator e apresenta riscos significativamente maiores do que os métodos modernos de autenticação.

Mais de 81 milhões de tentativas em apenas duas semanas
Entre os dias 12 e 26 de junho, os pesquisadores registraram uma campanha automatizada de grandes proporções.
Os números impressionam:
- Mais de 81 milhões de tentativas de autenticação;
- 78 contas comprometidas;
- 64 organizações afetadas;
- Cerca de 100% dos ataques concentrados em infraestrutura ligada à LSHIY LLC.
Inicialmente, os criminosos obtinham entre duas e quatro contas comprometidas por dia. Porém, em 22 e 23 de junho houve uma escalada significativa, quando 30 identidades foram comprometidas em apenas um dia, atingindo 23 empresas.

Zelda: Ocarina of Time Remake tem preço revelado e valor
Um dos jogos mais aguardados do Nintendo Switch 2 apareceu em pré-venda por US$ 59,99, valor abaixo do esperado e…
Motorola surpreende e confirma Moto G77 Power com bateria gigante
Novo smartphone da Motorola chega em 8 de julho com tela de 120 Hz, câmera Sony de 50 MP, Android…
Ataque em massa à CLI do Azure compromete contas da
Campanha de força bruta explorou um fluxo legado do OAuth para contornar políticas mal configuradas de autenticação multifator e afetou…
PS Plus de julho surpreende com Call of Duty: Modern
A Sony Interactive Entertainment revelou a lista oficial de jogos que estarão disponíveis para os assinantes do PlayStation Plus em…
Comissão da Câmara aprova inclusão de programadores e desenvolvedores no
O fim do “imposto abusivo” para quem trabalha com TI está mais próximo do que nunca. Descubra se você poderá…
Primeiro data center para IA na Amazônia: Elea anuncia projeto
Empreendimento será o primeiro data center neutro voltado à Inteligência Artificial na Região Amazônica, reforçando Belém como novo polo estratégico…
Empresas com MFA também foram afetadas
Um dos aspectos mais preocupantes da campanha é que diversas organizações atingidas possuíam autenticação multifator habilitada.
Entretanto, a Huntress explica que o problema não estava na tecnologia em si, mas na forma como as políticas haviam sido configuradas.
Entre os principais erros identificados estão:
- MFA aplicada apenas a determinados aplicativos, sem incluir todos os serviços em nuvem;
- Proteção restrita apenas a administradores;
- Regras acionadas somente para acessos provenientes de locais considerados não confiáveis;
- Ausência de políticas específicas para logins realizados pela CLI do Azure utilizando o fluxo ROPC.
Além disso, oito das empresas comprometidas sequer possuíam autenticação multifator configurada.
Senhas antigas vazadas
Os pesquisadores afirmam que não houve indicação de exploração de uma vulnerabilidade inédita no Azure.
O foco dos criminosos foi explorar combinações antigas de usuário e senha que já haviam sido expostas em vazamentos anteriores, mas que nunca foram alteradas pelos usuários.
Como o ataque foi totalmente automatizado, o direcionamento ocorreu com base na popularidade dessas credenciais comprometidas, sem preferência por setores específicos da economia.
Ataques cresceram mais de 155 vezes
Segundo a Huntress, houve um aumento expressivo desse tipo de ofensiva nos últimos meses.
A empresa registrou um crescimento superior a 155 vezes no volume de ataques de força bruta contra credenciais entre seus clientes.
Atualmente, cada organização protegida pela plataforma sofre, em média, 1.964 tentativas malsucedidas de invasão por mês, evidenciando uma escalada significativa nas campanhas automatizadas de roubo de credenciais.
Como as empresas podem se proteger
Os especialistas recomendam uma série de medidas para reduzir o risco desse tipo de ataque:
- Exigir autenticação multifator para todos os usuários;
- Aplicar MFA a todos os aplicativos em nuvem, incluindo a CLI do Azure;
- Desabilitar ou restringir o uso do fluxo legado ROPC;
- Limitar o acesso à Azure CLI para usuários que realmente necessitem da ferramenta;
- Revisar continuamente as políticas de Acesso Condicional;
- Incentivar a troca imediata de senhas que possam ter sido comprometidas em vazamentos anteriores.
Lição para empresas
Para a Huntress, o incidente demonstra que simplesmente habilitar a autenticação multifator não é suficiente.
A eficácia da proteção depende diretamente da forma como as políticas são implementadas e da eliminação de protocolos legados que ainda podem servir como porta de entrada para invasores.
Em um cenário de ataques automatizados cada vez mais sofisticados, revisar configurações de segurança e adotar boas práticas de gerenciamento de identidade tornou-se uma prioridade para organizações que utilizam serviços em nuvem da Microsoft.
Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.
Marciel
Formado em Jornalismo, o editor atua há mais de 10 anos na cobertura de notícias relacionadas ao mercado B2B. Apesar de toda a Transformação Digital, ainda prefere ouvir música de forma analógica, no toca-discos.
