Em duas semanas, mais de 81 milhões de tentativas de login contra ambientes Microsoft 365. Não foi um ataque de estado-nação com recursos ilimitados — foi uma campanha de password spraying documentada pela Huntress, usando infraestrutura distribuída para escapar dos bloqueios por IP.
O resultado: contas comprometidas em empresas que tinham senhas fracas ou sem autenticação multifator ativa. O vetor é antigo. A escala, não.
O que é password spraying e por que é tão eficaz
Password spraying é o oposto de brute force. Em vez de testar milhares de senhas contra uma conta — o que aciona bloqueios —, o atacante testa uma senha comum contra milhares de contas diferentes. Resultado: nenhuma conta é bloqueada, e o ataque passa invisível pelos controles tradicionais de detecção.
No caso documentado pela Huntress, a campanha usou senhas como Empresa@2026, Welcome1 e variações do nome da organização — as mais comuns em ambientes corporativos brasileiros. IPs distribuídos por múltiplos países impediram o bloqueio geográfico. Requisições espaçadas evitaram limites de rate.
Microsoft 365 é o alvo perfeito para esse tipo de ataque: autenticação centralizada, usado por praticamente toda empresa, e com histórico de configurações padrão permissivas.
O que os logs mostram — e o que a maioria ignora
Um ataque de password spraying bem executado gera sinais nos logs de autenticação do Azure AD. O problema é que a maioria das equipes não está monitorando os indicadores certos:
- Múltiplos erros de autenticação de IPs diferentes para a mesma conta em janelas de 30–60 minutos
- Autenticações de países ou regiões incomuns — especialmente via legacy authentication protocols
- Pico de tentativas fora do horário comercial — campanhas automatizadas não respeitam fuso horário
- Uso de protocolos legados como IMAP, POP3 e SMTP AUTH, que contornam o MFA
Esse último ponto é crítico. MFA ativo não protege contas que ainda permitem autenticação via protocolo legado. O atacante simplesmente usa IMAP — e o MFA nunca é acionado. Veja as 10 dicas para fortalecer seu MFA e entenda quais configurações realmente fazem diferença.
O que configurar agora no seu tenant M365
Cinco ações com impacto imediato:
- Bloquear autenticação legada via Conditional Access — criar política que bloqueie todos os clientes que não suportam autenticação moderna
- Ativar Smart Lockout e configurar thresholds menores que o padrão (10 tentativas) — 5 é mais seguro para ambientes corporativos
- Habilitar Azure AD Identity Protection — detecta automaticamente comportamentos de login anômalos e pode exigir MFA em tempo real
- Revisar contas de serviço e shared mailboxes — frequentemente excluídas das políticas de MFA e alvos preferenciais
- Criar alerta no SIEM para o evento 50126 do Azure AD — falha de autenticação por credencial inválida, correlacionando volume por IP de origem
Para uma visão completa das ferramentas disponíveis para controle de acesso e proteção de identidade, confira as 10 ferramentas para gestão de identidade e acesso (IAM) — várias delas integram diretamente com ambientes Microsoft 365.
Prepare sua equipe para identificar e responder
Configuração é uma camada. A outra é ter analistas que saibam interpretar o que os logs estão dizendo antes que a conta seja comprometida.
A IBSEC forma profissionais com essa capacidade técnica:
- Defesa Cibernética — Analista SOC na Prática — monitoramento de autenticação, correlação de eventos e resposta a incidentes em ambientes reais
- Gestão de Identidades Digitais Seguras na Prática — controle de acesso, políticas de autenticação e proteção de identidade em nuvem
- Hacker Ético na Prática — entenda como esses ataques são executados para defender com mais precisão
Ou comece pela Certificação IBSEC gratuita — sem custo, em português, do nível Essencial ao Profissional.
Capacite-se com quem é referência em cibersegurança no Brasil. Domine as práticas que o mercado exige e conquiste novas oportunidades.