Uma pulverização, não uma rutura técnica
A empresa de segurança Huntress divulgou uma campanha de password spraying que decorreu de 12 a 26 de junho de 2026, com o pico a 22 de junho, na qual mais de 81 milhões de tentativas de acesso foram dirigidas a contas do Microsoft 365. O tráfego vinha de um intervalo IPv6 registado a um único operador, e os atacantes não adivinhavam palavras-passe às cegas. Reproduziam pares de nome de utilizador e palavra-passe recolhidos de fugas anteriores e não relacionadas, apostando que as pessoas reutilizam as suas credenciais entre serviços. Dessa enxurrada, 78 contas foram comprometidas em 64 organizações.
O que torna isto notável é a ausência de qualquer coisa exótica. Não houve dia zero, nem malware engenhoso, nem truque na cadeia de fornecimento. Foi volume mais credenciais reutilizadas mais uma via de autenticação fraca. Essa combinação está ao alcance de qualquer atacante comum, e é precisamente por isso que merece a atenção de um proprietário: a técnica é barata, repetível e dirigida à camada de identidade que a maioria das empresas assume já ter protegido com a autenticação multifator.
Como os acessos passaram pelo MFA
O mecanismo foi uma via de acesso antiga. Os atacantes autenticaram-se através das ferramentas de linha de comandos do Azure usando o fluxo Resource Owner Password Credentials, conhecido como ROPC, um método OAuth mais antigo que aceita diretamente um nome de utilizador e uma palavra-passe e que, em muitos inquilinos, não aciona qualquer pedido multifator. Onde um inquilino tinha o MFA ativado mas limitado de forma estreita, as credenciais reutilizadas passavam direto pela brecha. A Huntress encontrou as mesmas más configurações vezes sem conta: MFA aplicado apenas a aplicações selecionadas, MFA imposto apenas a grupos de administradores, MFA exigido apenas de localizações não fiáveis e políticas de Conditional Access deixadas no modo apenas relatório, onde registam mas nunca bloqueiam.
A lição menos óbvia é que o MFA não é um interruptor, mas um mapa de cobertura. Um inquilino pode passar numa auditoria que pergunta se o MFA existe e ainda assim deixar uma porta antiga por trancar. Os atacantes não derrotaram a autenticação multifator; encontraram os acessos onde ela nunca era pedida. Essa distinção é toda a história, e permanece invisível a menos que alguém verifique que vias de autenticação um inquilino ainda permite.
A meia hora que fecha a falha
Este é um problema de configuração com uma resposta de configuração, e a maior parte dele é uma breve sessão administrativa em vez de uma compra. Bloqueie a autenticação antiga e desative o fluxo ROPC, para que os acessos com nome de utilizador e palavra-passe que ignoram o MFA sejam simplesmente recusados. Imponha a autenticação multifator em cada aplicação e cada acesso, não apenas nas contas de administrador ou em localizações não fiáveis, e passe o Conditional Access do modo apenas relatório para o bloqueio ativo. Depois, verifique os registos de acesso à procura do padrão da pulverização falhada e reponha qualquer credencial que uma fuga passada possa ter exposto.
Para uma empresa europeia há uma segunda razão para agir depressa. Se credenciais reutilizadas abrirem uma caixa de correio que contém dados pessoais, o incidente pode desencadear um dever de notificação ao abrigo do RGPD no prazo de 72 horas, de modo que uma falha de identidade silenciosa pode tornar-se um evento notificável e uma conversa com a CNPD. O padrão europeu recomenda precisamente esta higiene de configuração. O custo de fechar a porta é uma tarde de configuração; o custo de a deixar aberta mede-se em obrigações de divulgação e confiança perdida. Trate a camada de identidade como o perímetro em que se tornou.
Leia a seguir: O teu editor com IA executa código hostil | O seu fornecedor é a porta do ransomware



