
Operadores abusam do fluxo legado ROPC para contornar Conditional Access mal configurado e reutilizar credenciais vazadas em listas de combinações usuário-senha
| Componente | Contas de usuário Microsoft Entra ID autenticadas via Azure CLI, com foco no fluxo OAuth legado Resource Owner Password Credentials (ROPC) e políticas de Conditional Access associadas |
| Vetor | Password spray automatizado e em larga escala contra a interface de linha de comando do Azure, reutilizando combinações usuário-senha prevalentes em listas derivadas de vazamentos anteriores; tráfego originado principalmente do bloco IPv6 2a0a:d683[::]/32 (LSHIY LLC, AS32167) |
| Impacto | Entre 12 e 26 de junho de 2026, mais de 81 milhões de tentativas de login resultaram no comprometimento de pelo menos 78 identidades em 64 organizações, inclusive em ambientes com Conditional Access habilitado mas insuficiente para cobrir logins ROPC do Azure CLI |
| Prioridade | Exigir MFA para todos os usuários, todos os aplicativos em nuvem e todos os tipos de cliente; restringir o aplicativo Azure CLI para usuários não administrativos; auditar e desabilitar ROPC; priorizar resposta com base na validade e rotação de credenciais expostas |
| Artefatos | Fluxo OAuth 2.0 ROPC (depreciado no OAuth 2.1); aplicativo Azure CLI; políticas de Conditional Access com cobertura parcial de apps ou fluxos legados |
| IoCs | Faixa IPv6 2a0a:d683[::]/32 (AS32167, LSHIY LLC); resoluções geográficas mistas (Estados Unidos e China); padrão de spray distribuído em múltiplos ASNs |
Pesquisadores de segurança documentaram uma campanha massiva, contínua e automatizada de password spray direcionada à autenticação via Azure CLI da Microsoft. O conjunto de atividade, observado entre 12 e 26 de junho de 2026, acumulou mais de 81 milhões de tentativas de login e resultou no comprometimento confirmado de pelo menos 78 contas de usuário distribuídas em 64 organizações. O volume e a cadência indicam operação orientada a escala, não a seleção setorial: o alinhamento dos alvos parece derivar exclusivamente da prevalência de senhas em listas de combinações usuário-senha obtidas de incidentes anteriores, sem correlação aparente com tipo de negócio ou indústria.
O elemento técnico que eleva o risco além do spray convencional é o abuso do fluxo OAuth legado Resource Owner Password Credentials. Nesse modelo, o cliente recebe usuário e senha diretamente e os encaminha ao servidor de autorização em troca de token de acesso. Por não transitar pelo endpoint de autorização onde muitas políticas de Conditional Access são aplicadas, o ROPC pode contornar proteções quando estas não cobrem explicitamente todos os aplicativos em nuvem, todos os tipos de cliente ou fluxos legados. A Microsoft classifica o ROPC como incompatível com autenticação multifator na forma usual e o depreciou no OAuth 2.1, recomendando alternativas mais seguras na maioria dos cenários.
A origem do tráfego concentra-se em infraestrutura associada ao provedor LSHIY LLC (AS32167), com atividade predominante a partir do bloco IPv6 2a0a:d683[::]/32. Parte dos endereços resolve para localizações nos Estados Unidos e outros para a China. A campanha insere-se em uma onda mais ampla de credential spray observada em diversos sistemas autônomos, com aumento reportado de mais de 155 vezes no volume agregado entre a base monitorada e um patamar médio atual de cerca de 1.964 tentativas falhas por mês por locatário protegido, com pico entre o final de maio e o início de junho de 2026.
O password spray contra Azure CLI opera distribuindo tentativas de autenticação em volume extremo, testando combinações usuário-senha conhecidas ou altamente prováveis sem disparar bloqueios típicos de força bruta concentrada em uma única conta. A lógica observada reutiliza credenciais que já circularam em vazamentos e que, nas organizações afetadas, não foram rotacionadas ou invalidadas de forma oportuna. Cada tentativa bem-sucedida representa acesso inicial a uma identidade corporativa no ecossistema Microsoft, com potencial de abuso conforme permissões e licenciamentos associados à conta comprometida.
O vetor ROPC altera o ponto de aplicação das defesas de identidade. Em fluxos modernos, o usuário autentica-se no provedor e o cliente recebe tokens sem manipular a senha diretamente; políticas de Conditional Access avaliam contexto, aplicativo, tipo de cliente e risco no momento da autorização. No ROPC, credenciais trafegam pelo cliente e a troca ocorre por mecanismo legado. Organizações que habilitaram MFA ou CAP de forma parcial — por exemplo, restringindo políticas a aplicativos específicos em vez de todos os aplicativos em nuvem — podem deixar logins do Azure CLI fora do escopo efetivo de exigência de segundo fator ou de bloqueio de protocolos legados.
A cronologia do comprometimento mostra fase inicial de baixa taxa de sucesso entre 12 e 21 de junho, com média de dois a quatro contas comprometidas por dia e exceção em 19 de junho, quando 12 identidades foram afetadas. Em 22 de junho a cadência mudou abruptamente: 30 identidades em 23 empresas foram impactadas em um único dia, elevando o total da janela para 78 contas em 64 organizações. Oito das empresas afetadas não possuíam política de MFA alguma, mas a maioria tinha Conditional Access configurado e ainda assim sofreu intrusão, o que reforça que a presença de MFA ou CAP sem cobertura completa de fluxos e aplicativos não equivale a proteção efetiva contra este vetor.
A superfície primária são identidades de usuário Microsoft utilizadas com Azure CLI em ambientes corporativos, independentemente de setor. O ataque não seleciona vertical de mercado; seleciona reutilização de senhas fracas ou reexpostas. Qualquer organização que permita autenticação ROPC via Azure CLI sem políticas que cubram esse fluxo e esse aplicativo permanece exposta mesmo com MFA implementado em outros caminhos de login.
Administradores e equipes de engenharia que dependem do CLI para automação representam alvos de alto valor quando credenciais não são gerenciadas com práticas de identidade sem senha ou quando contas de serviço compartilham senhas reutilizadas em listas públicas. O impacto técnico imediato é acesso autenticado à identidade comprometida no tenant, com consequências posteriores dependentes de papéis atribuídos, acesso a assinaturas Azure, pipelines e integrações federadas — limites que devem ser avaliados caso a caso no inventário de permissões das 78 contas confirmadas.
- Contas de usuário Microsoft Entra ID autenticadas via Azure CLI com fluxo ROPC
- Políticas de Conditional Access habilitadas mas com lacunas de cobertura em aplicativos em nuvem ou tipos de cliente
- Organizações com credenciais não rotacionadas após exposição em vazamentos anteriores
- Oito empresas impactadas sem qualquer política de MFA configurada
- Infraestrutura de origem associada a AS32167 e bloco IPv6 2a0a:d683[::]/32
Equipes de detecção devem correlacionar picos de falhas de autenticação e sucessos anômalos envolvendo o aplicativo Azure CLI e fluxos compatíveis com ROPC, especialmente em janelas que coincidam com o padrão de spray distribuído. A presença de tentativas massivas a partir de faixas IPv6 de provedores de hospedagem com histórico de tráfego abusivo, incluindo AS32167, constitui sinal de campanha automatizada em curso.
A telemetria de identidade deve distinguir login bem-sucedido após sequência de falhas distribuídas — assinatura clássica de password spray — de falhas concentradas em uma única conta. Monitorar mudanças súbitas na taxa diária de comprometimentos ajuda a identificar escalonamento operacional semelhante ao observado em 22 de junho. Revisar logs de Conditional Access para eventos em que políticas não foram avaliadas ou foram contornadas por tipo de fluxo legado é essencial para validar lacunas de configuração.
- Picos de tentativas falhas de login seguidos de autenticações bem-sucedidas esporádicas em contas distintas
- Autenticações Azure CLI via ROPC sem correspondência em políticas de MFA aplicadas a outros aplicativos
- Tráfego de autenticação originado de 2a0a:d683[::]/32 e outros ASNs com padrão de credential spray em larga escala
- Contas com senhas presentes em listas de combinações conhecidas ainda ativas no diretório
- Aumento abrupto no volume de falhas por locatário acima da média histórica de aproximadamente 1.964 eventos mensais por ambiente monitorado
A resposta deve começar pelo inventário de contas com credenciais potencialmente reutilizadas, forçando rotação imediata e invalidação de sessões ativas para as identidades comprometidas ou suspeitas. Em paralelo, revisar políticas de Conditional Access para exigir MFA em todos os usuários, todos os aplicativos em nuvem e todos os tipos de aplicativo cliente, eliminando exceções que deixem o Azure CLI fora do escopo.
O ROPC deve ser tratado como superfície legada a ser eliminada ou rigidamente controlada: migrar integrações para fluxos com suporte adequado a MFA, restringir o uso do aplicativo Azure CLI para usuários não administrativos quando o negócio permitir, e bloquear protocolos legados que não passam pelo endpoint de autorização. A lição operacional não é que MFA falha de forma geral, e sim que políticas parciais criam rotas de bypass exploráveis em escala industrial por operadores que já possuem combinações vazadas.
Após contenção, validar que tentativas subsequentes de spray não produzem novos sucessos e que alertas cobrem não apenas volume de falhas, mas sucessos em contas com histórico de exposição em vazamentos. Priorizar resposta pela validade das credenciais — contas com senhas reutilizadas devem ser tratadas antes de endurecimento genérico — reduz a janela em que um único login bem-sucedido entre dezenas de milhões de tentativas se converte em acesso persistente.
- Configurar Conditional Access com MFA obrigatório para todos os usuários, todos os aplicativos em nuvem e todos os tipos de cliente
- Restringir ou bloquear uso do aplicativo Azure CLI para usuários não administrativos conforme política organizacional
- Desabilitar ou substituir fluxos ROPC por alternativas compatíveis com MFA e avaliação completa de políticas
- Rotacionar credenciais de contas expostas em vazamentos e revogar sessões ativas após qualquer comprometimento confirmado
- Monitorar tráfego de autenticação originado de AS32167 e padrões de spray em múltiplos ASNs como indicador de campanha ativa
0 Comentários