<p>Uma campanha agressiva de <strong>password spraying</strong> contra ambientes Microsoft 365 gerou mais de <strong>81 milhões de tentativas</strong> de login em um período de duas semanas (12 a 26 de junho de 2026). Os atacantes usaram combinações de usuário e senha vazadas em violações anteriores, autenticando-se via <strong>Azure CLI</strong> através do mecanismo OAuth Resource Owner Password Credentials (<strong>ROPC</strong>) — um fluxo legado que não oferece suporte a autenticação moderna como MFA ou SSO.</p><h2>Escala do ataque</h2><p>A campanha comprometeu 78 contas Microsoft em 64 organizações. O padrão de ataque mostrou dois a quatro comprometimentos diários entre 12 e 21 de junho, com um pico de 12 contas em 19 de junho, seguido por uma mudança abrupta em 22 de junho, quando 30 identidades em 23 empresas foram afetadas no mesmo dia. A atividade maliciosa se originou majoritariamente de um bloco de endereços IPv6 controlado pelo provedor LSHIY LLC.</p><h2>Ponto cego de segurança</h2><p>O aspecto mais preocupante do incidente é que muitas das organizações comprometidas tinham políticas de Acesso Condicional habilitadas — elas simplesmente não cobriam o fluxo de autenticação via Azure CLI, criando um ponto cego de segurança mesmo em ambientes com MFA implementado.</p><h2>Mitigação</h2><p>Organizações devem aplicar MFA a todos os aplicativos na nuvem (não apenas aos administradores), garantir que políticas de acesso condicional estejam em modo de aplicação ativa (não apenas "somente relatório") e evitar depender do fluxo ROPC, migrando para métodos de autenticação modernos.</p>
Fonte e transparência
Fonte original: bleepingcomputer.com
Data de publicação original: 01/07/2026
O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.
