
Os utilizadores da Microsoft foram o alvo central de uma vasta campanha automatizada de pulverização de palavras-passe. De acordo com a informação partilhada pela CSO Online, a empresa de cibersegurança Huntress detetou cerca de 81 milhões de tentativas de autenticação ilícitas entre os dias 12 e 26 de junho, que resultaram no comprometimento de pelo menos 78 contas corporativas. Como estes números refletem apenas os clientes diretos desta firma de segurança, o verdadeiro alcance global desta intrusão poderá ser substancialmente maior.
A origem e a tática por trás da invasão
Esta recente investida teve origem num único ponto, nomeadamente um intervalo de endereços IPv6 pertencente ao fornecedor de internet LSHIY LLC, que entretanto já cortou o acesso ao cliente responsável pelas operações. Os piratas informáticos iniciaram um ataque repentino com um pico de atividade no dia 22 de junho, reutilizando credenciais válidas através do fluxo OAuth ROPC.
Este método técnico consiste em recolher o nome de utilizador e a respetiva palavra-passe para introduzir num terminal específico, o que permitiu aos criminosos a criação de novos tokens de acesso delegado assim que os dados corretos foram fornecidos pelo sistema.
Falhas na configuração deixaram empresas vulneráveis
O ponto mais crítico desta ocorrência reside na forma como os administradores de TI gerem os seus sistemas de defesa. A autenticação de múltiplos fatores, vulgarmente conhecida como MFA, falhou em travar os intrusos de forma eficaz porque não estava configurada para abranger a totalidade das aplicações na nuvem das organizações afetadas.
Muitas empresas tinham esta camada extra de proteção ativa apenas para os portais de administração, deixando portas abertas em ferramentas secundárias como o Azure CLI, que acabou por ser precisamente o vetor escolhido pelos criminosos para contornar a segurança. Noutros casos, o sistema estava limitado a grupos muito restritos de trabalhadores, deixando a maioria da equipa exposta.
Para as empresas portuguesas que dependem diariamente deste ecossistema para o seu funcionamento, este incidente serve de alerta máximo sobre as políticas de acesso interno. Configurar a segurança apenas para utilizadores com privilégios de administrador ou para serviços específicos já não garante qualquer escudo real contra ameaças automatizadas. A recomendação prática passa por auditar de imediato as infraestruturas empresariais e garantir que a autenticação dupla está ativada de forma universal, bloqueando lacunas que muitas vezes passam despercebidas nas ferramentas de linha de comandos.












Nenhum comentário
Seja o primeiro!