Ataque em massa à CLI do Azure compromete contas da Microsoft após 81 milhões de tentativas de login

Campanha de força bruta explorou um fluxo legado do OAuth para contornar políticas mal configuradas de autenticação multifator e afetou ao menos 64 organizações

Um ataque cibernético em larga escala contra a Interface de Linha de Comando (CLI) do Azure, da Microsoft, colocou empresas em alerta após comprometer pelo menos 78 contas corporativas em 64 organizações. Segundo pesquisadores da Huntress, os criminosos realizaram mais de 81 milhões de tentativas de login entre os dias 12 e 26 de junho, utilizando ataques automatizados de força bruta para explorar credenciais vazadas anteriormente.

A campanha teve origem em um intervalo de endereços IPv6 associado ao provedor de infraestrutura LSHIY LLC (AS32167) e chamou a atenção não apenas pelo volume de tentativas, mas também pela capacidade de contornar configurações incorretas de autenticação multifator (MFA) em ambientes corporativos.

Ataque explorou fluxo legado do OAuth

De acordo com a Huntress, os invasores utilizaram um mecanismo legado conhecido como Resource Owner Password Credentials (ROPC), um fluxo antigo do protocolo OAuth 2.0 que permite o envio direto de usuário e senha para obtenção de um token de acesso.

Embora esse método tenha sido descontinuado no OAuth 2.1, ele ainda permanece disponível em alguns ambientes e pode contornar determinadas políticas de Acesso Condicional (Conditional Access Policies – CAP) quando estas não estão corretamente configuradas.

A própria Microsoft recomenda que o ROPC não seja utilizado.

Segundo a empresa, esse fluxo é incompatível com autenticação multifator e apresenta riscos significativamente maiores do que os métodos modernos de autenticação.

Mais de 81 milhões de tentativas em apenas duas semanas

Entre os dias 12 e 26 de junho, os pesquisadores registraram uma campanha automatizada de grandes proporções.

Os números impressionam:

  • Mais de 81 milhões de tentativas de autenticação;
  • 78 contas comprometidas;
  • 64 organizações afetadas;
  • Cerca de 100% dos ataques concentrados em infraestrutura ligada à LSHIY LLC.

Inicialmente, os criminosos obtinham entre duas e quatro contas comprometidas por dia. Porém, em 22 e 23 de junho houve uma escalada significativa, quando 30 identidades foram comprometidas em apenas um dia, atingindo 23 empresas.

Empresas com MFA também foram afetadas

Um dos aspectos mais preocupantes da campanha é que diversas organizações atingidas possuíam autenticação multifator habilitada.

Entretanto, a Huntress explica que o problema não estava na tecnologia em si, mas na forma como as políticas haviam sido configuradas.

Entre os principais erros identificados estão:

  • MFA aplicada apenas a determinados aplicativos, sem incluir todos os serviços em nuvem;
  • Proteção restrita apenas a administradores;
  • Regras acionadas somente para acessos provenientes de locais considerados não confiáveis;
  • Ausência de políticas específicas para logins realizados pela CLI do Azure utilizando o fluxo ROPC.

Além disso, oito das empresas comprometidas sequer possuíam autenticação multifator configurada.

Senhas antigas vazadas

Os pesquisadores afirmam que não houve indicação de exploração de uma vulnerabilidade inédita no Azure.

O foco dos criminosos foi explorar combinações antigas de usuário e senha que já haviam sido expostas em vazamentos anteriores, mas que nunca foram alteradas pelos usuários.

Como o ataque foi totalmente automatizado, o direcionamento ocorreu com base na popularidade dessas credenciais comprometidas, sem preferência por setores específicos da economia.

Ataques cresceram mais de 155 vezes

Segundo a Huntress, houve um aumento expressivo desse tipo de ofensiva nos últimos meses.

A empresa registrou um crescimento superior a 155 vezes no volume de ataques de força bruta contra credenciais entre seus clientes.

Atualmente, cada organização protegida pela plataforma sofre, em média, 1.964 tentativas malsucedidas de invasão por mês, evidenciando uma escalada significativa nas campanhas automatizadas de roubo de credenciais.

Como as empresas podem se proteger

Os especialistas recomendam uma série de medidas para reduzir o risco desse tipo de ataque:

  • Exigir autenticação multifator para todos os usuários;
  • Aplicar MFA a todos os aplicativos em nuvem, incluindo a CLI do Azure;
  • Desabilitar ou restringir o uso do fluxo legado ROPC;
  • Limitar o acesso à Azure CLI para usuários que realmente necessitem da ferramenta;
  • Revisar continuamente as políticas de Acesso Condicional;
  • Incentivar a troca imediata de senhas que possam ter sido comprometidas em vazamentos anteriores.

Lição para empresas

Para a Huntress, o incidente demonstra que simplesmente habilitar a autenticação multifator não é suficiente.

A eficácia da proteção depende diretamente da forma como as políticas são implementadas e da eliminação de protocolos legados que ainda podem servir como porta de entrada para invasores.

Em um cenário de ataques automatizados cada vez mais sofisticados, revisar configurações de segurança e adotar boas práticas de gerenciamento de identidade tornou-se uma prioridade para organizações que utilizam serviços em nuvem da Microsoft.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.

Marciel

Formado em Jornalismo, o editor atua há mais de 10 anos na cobertura de notícias relacionadas ao mercado B2B. Apesar de toda a Transformação Digital, ainda prefere ouvir música de forma analógica, no toca-discos.

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.

Mais acessados

Dicas e Tutoriais

SmartPhones & Tablets

Mercado & Tecnologia

Consoles e Games

Ciência & Espaço

Eventos

Quem Somos

Tecflow é um website focado em notícias sobre tecnologia com resenhas, artigos, tutoriais, podcasts, vídeos sobre tech, eletrônicos de consumo e mercado B2B.

Siga Tecflow em:

Parceiro Autthentic

error: Content is protected !!