São Paulo — InkDesign News — Uma vulnerabilidade crítica no método legado de autenticação da Microsoft Entra ID permitiu que atacantes batessem a autenticação multifatorial (MFA) em um ataque direcionado entre 18 de março e 7 de abril de 2025, afetando contas administrativas em setores financeiros, de saúde e tecnologia.
Incidente e vulnerabilidade
A campanha de ataques, descoberta pela empresa de cibersegurança Guardz, explorou um protocolo antigo chamado Basic Authentication Version 2 – Resource Owner Password Credential (BAV2ROPC), usado para autenticação em Microsoft Entra ID. Essa forma de login, não interativa, permite que usuários se autentiquem com nome de usuário e senha sem passar pela verificação de múltiplos fatores ou pelas políticas modernas de acesso condicional.
Esse método, mantido para compatibilidade com aplicações legadas, criou uma “porta dos fundos oculta” para invasores que utilizaram automação para ataques de força bruta e spraying de credenciais, principalmente contra endpoints legados do Exchange Online e Microsoft Authentication Library.
Impacto e resposta
Durante a fase inicial, que durou de 18 a 20 de março, os invasores realizaram cerca de 2.709 tentativas diárias, aumentando para 6.444 tentativas diárias entre 21 de março e 3 de abril, representando um crescimento de 138% nas tentativas.
Mais de 9.000 tentativas suspeitas de login foram monitoradas, com origem principalmente da Europa Oriental e da região Ásia-Pacífico. Os ataques visaram principalmente contas administrativas, recebendo um volume próximo a 10 mil tentativas de 432 IPs em oito horas.
“Admin accounts were a specific focus. One subset received nearly 10,000 attempts from 432 IPs within 8 hours,”
(“Contas administrativas foram um foco específico. Um subconjunto recebeu quase 10.000 tentativas de 432 IPs em 8 horas,”)— Elli Shlomo, Guardz Research Unit
O incidente segue os bloqueios massivos de contas Microsoft Entra ID reportados em abril de 2025, causados por falhas internas no gerenciamento de tokens da Microsoft, mas desta vez trata-se de uma exploração deliberada das vulnerabilidades em protocolos antigos.
Mitigações recomendadas
Para mitigar estes riscos, a Guardz recomenda auditoria imediata e desabilitação dos métodos de autenticação legada, como BAV2ROPC, SMTP AUTH, POP3 e IMAP4, substituindo-os por autenticação moderna com MFA obrigatória e políticas de acesso condicional rigorosas para bloquear fluxos não suportados.
Além disso, a monitoração intensiva por atividades de login suspeitas deve ser reforçada para detectar tentativas de acesso não autorizadas, especialmente em contas privilegiadas.
“This campaign is a wake-up call, not just about one vulnerability, but about the broader need to retire outdated technologies that no longer serve today’s threat landscape.”
(“Esta campanha é um alerta, não apenas sobre uma vulnerabilidade, mas sobre a necessidade mais ampla de aposentar tecnologias desatualizadas que não servem mais ao cenário de ameaças atual.”)— Dor Eisner, CEO e Co-Fundador da Guardz
Embora a campanha tenha diminuído, a persistência dessas vulnerabilidades representa um risco contínuo para organizações que ainda dependem dessas formas legadas de autenticação, expondo-as a ataques furtivos e silenciosos.
Fonte: (Hack Read – Segurança Cibernética)
