Pesquisadores de segurança da SecurityScorecard acusaram hackers chineses de realizar ataques massivos e coordenados de pulverização de senhas em contas do Microsoft 365. A pulverização de senhas é normalmente bloqueada por sistemas de segurança, mas esta campanha tem como alvo logins não interativos usados para autenticação entre serviços, que nem sempre geram alertas de segurança.
Fonte da imagem: pexels.com
A pulverização de senhas é uma técnica de hacking que envolve o uso de uma lista de senhas comumente usadas para lançar um ataque em massa em muitas contas. Esses ataques geralmente são bem-sucedidos porque muitos usuários protegem suas contas com senhas simples e fáceis de adivinhar, como “123456”, “senha” ou “qwerty123”. A recordista mundial de senhas de 2024, a sequência “123456”, foi encontrada em mais de 3 milhões de contas em um estudo da NordPass. Leva menos de um segundo para quebrar uma senha dessas.
O SecurityScorecard cita em suas alegações o uso pelos invasores de infraestrutura associada à CDS Global Cloud e à UCLOUD HK, organizações com laços operacionais com a China. “Essas descobertas da nossa equipe de inteligência de ameaças STRIKE confirmam que os invasores continuam a encontrar e explorar falhas nos processos de autenticação”, disse o pesquisador de segurança do SecurityScorecard, David Mound. — As organizações não podem se dar ao luxo de presumir que a MFA (autenticação multifator) por si só é segurança suficiente. Entender as nuances das entradas não interativas é fundamental para fechar essas lacunas.”
Embora a pulverização de senhas seja uma técnica bem conhecida, essa campanha se distingue por sua escala, discrição e exploração de pontos cegos críticos de segurança. Diferentemente de ataques anteriores relacionados ao Solt Typhoon (China) e ao APT33 (Irã), esta botnet usa logins não interativos para evitar a detecção e o bloqueio por ferramentas de segurança tradicionais, que são usadas para autenticação entre serviços e nem sempre geram alertas de segurança. Isso permite que invasores operem sem habilitar a proteção MFA ou políticas de acesso condicional (CAP), mesmo em ambientes altamente seguros.
Fonte da imagem: SecurityScorecard
Esse ataque tem implicações para muitos setores, mas organizações que dependem muito do Microsoft 365 para e-mail, armazenamento de documentos e colaboração podem estar em risco particular. Para evitar se tornar vítima de ataques cibernéticos, você deve:
- Verifique os logs de login não interativos em busca de tentativas de acesso não autorizadas.
- Altere as credenciais de todas as contas com tentativas de login malsucedidas recentes.
- Desabilite protocolos de autenticação legados.
- Rastreie credenciais roubadas associadas à sua organização nos registros dos ladrões de informações.
- Implemente políticas de acesso condicional que restrinjam tentativas de login não interativas.
Com a Microsoft pronta para eliminar completamente a autenticação básica até setembro de 2025, esses ataques destacam a urgência de migrar para métodos de autenticação mais seguros antes que eles se tornem ainda mais difundidos.