Botnet Explora Autenticação Básica em Ataques no Microsoft 365
fevereiro 24, 2025

Botnet Explora Autenticação Básica em Ataques no Microsoft 365

4

Opa! Tudo certo? Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo “Botnet Explora Autenticação Básica em Ataques de Pulverização de Senhas no Microsoft 365”. Acesse o site da Uni Academy (https://uniacademy.com.br/) e conheça todos os meus cursos. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal do Youtube, deixar o seu like e compartilhar esse artigo, para fortalecermos a nossa comunidade. Um grande abraço e boa leitura.

 

Botnet Explora Autenticação Básica em Ataques de Pulverização de Senhas no Microsoft 365

Uma botnet massiva, com mais de 130.000 dispositivos comprometidos, está realizando ataques de pulverização de senhas contra contas do Microsoft 365 (M365). O objetivo é contornar a autenticação multifator (MFA) explorando a autenticação básica (Basic Auth), um método obsoleto e menos seguro.

Segundo o SecurityScorecard, os invasores utilizam credenciais roubadas por malwares do tipo infostealer para acessar contas em larga escala. Como a autenticação básica não exige interação do usuário, ataques bem-sucedidos não acionam MFA nem políticas de acesso condicional, permitindo invasões silenciosas.

“Organizações que dependem somente do monitoramento de login interativo são cegas a esses ataques. Logins não interativos, comumente usados para autenticação de serviço para serviço, protocolos legados (por exemplo, POP, IMAP, SMTP) e processos automatizados, não acionam MFA em muitas configurações”, alerta o SecurityScorecard .

A Microsoft já desativou esse método para a maioria dos serviços do M365 e planeja sua descontinuação total em setembro de 2025, substituindo-o pelo OAuth 2.0. No entanto, a botnet continua explorando contas que ainda permitem essa autenticação, testando senhas comuns e vazadas para obter acesso a serviços legados e lançar ataques mais sofisticados.

 

Indícios e Possível Origem

Nos logs do Microsoft Entra ID, ataques desse tipo podem ser identificados por múltiplas tentativas de login não interativo, falhas consecutivas de diferentes IPs e pelo agente de usuário “fasthttp”. A SpearTip já havia alertado sobre ataques semelhantes em janeiro, embora sem mencionar logins não interativos.

O SecurityScorecard suspeita que os operadores da botnet tenham ligação com agentes de ameaças chineses, pois os servidores de comando e controle (C2) estão hospedados na Shark Tech (EUA) e redirecionam tráfego por provedores vinculados à China, como UCLOUD HK e CDS Global Cloud. Além disso, os servidores utilizam Apache Zookeeper e Kafka para gerenciar as operações, e seus fusos horários estão configurados para Ásia/Xangai.

 

Medidas de Proteção

Para mitigar esses ataques, as organizações devem:

  • Desativar a autenticação básica no Microsoft 365;
  • Bloquear IPs maliciosos identificados no relatório do SecurityScorecard;
  • Configurar Políticas de Acesso Condicional (CAP) para restringir logins suspeitos;
  • Habilitar MFA para todas as contas, eliminando a possibilidade de autenticação apenas por senha.

Com a iminente descontinuação da autenticação básica, reforçar as medidas de segurança agora é essencial para evitar comprometimentos no futuro.

 

E aí! Curtiu esse artigo? Então não esquece de comentar, deixar o seu like, e compartilhar em suas redes sociais.

 

Acesso Black!

Todos os meus Cursos em um único lugar.

Clique AQUI e se torne um aluno Black.

 

Cursos de Especialização

Especialista em Microsoft Defender para Office 365

DLP Para Administradores (Prevenção contra Perda de Dados no Microsoft Purview)

 

Certificação em 4 Semanas

Escolha umas das certificações a seguir e seja aprovado em até 4 semanas:

Clique AQUI e garanta a sua Vaga!

A Microsoft é nomeada líder no Gartner® Magic Quadrant™ para plataformas de proteção de endpoint
Previews Post
Nova atualização do Windows 10 resolve falha crítica em conexões SSH
Next Post
× Dúvidas sobre cursos?