Roubo de tokens supera credenciais como vetor de violações no Microsoft 365 em 2025

Em 2025, o roubo de tokens de autenticação tornou-se o principal vetor de comprometimento de ambientes Microsoft 365, respondendo por 31% de todas as violações documentadas — superando o comprometimento tradicional de senhas. Ataques do tipo AiTM (Adversary-in-the-Middle) cresceram 146% em relação ao ano anterior, com a Obsidian Security e a Microsoft estimando cerca de 40.000 incidentes de token theft detectados diariamente em ambientes M365.

A técnica AiTM posiciona um servidor intermediário entre o usuário e o serviço legítimo, capturando tanto as credenciais quanto o cookie de sessão (token) gerado após autenticação multifator bem-sucedida. Isso torna o token theft particularmente perigoso: o MFA é contornado sem necessidade de forçar a autenticação novamente. Tokens de refresh OAuth roubados foram usados para acessar dados de mais de 700 empresas via aplicações SaaS integradas.

Consentimento fraudulento ("consent phishing") — onde usuários são induzidos a conceder permissões OAuth a aplicações maliciosas — e abuso de fluxos de código de dispositivo (device-code flow) foram identificados pelo Proofpoint como técnicas em expansão. Aplicações maliciosas com permissões OAuth concedidas por um funcionário podem operar indefinidamente sem precisar das credenciais do usuário.

Organizações devem habilitar políticas de Acesso Condicional no Entra ID para exigir dispositivos gerenciados e localizações conhecidas, configurar alertas para tokens utilizados de localizações incomuns, revisar aplicações OAuth autorizadas regularmente e desabilitar o device-code flow para usuários que não precisem do recurso.

Fonte: Obsidian Security / Proofpoint.