Em duas semanas, mais de 81 milhões de tentativas de login contra ambientes Microsoft 365. Não foi um ataque de estado-nação com recursos ilimitados — foi uma campanha de password spraying documentada pela Huntress, usando infraestrutura distribuída para escapar dos bloqueios por IP.

O resultado: contas comprometidas em empresas que tinham senhas fracas ou sem autenticação multifator ativa. O vetor é antigo. A escala, não.

O que é password spraying e por que é tão eficaz

Password spraying é o oposto de brute force. Em vez de testar milhares de senhas contra uma conta — o que aciona bloqueios —, o atacante testa uma senha comum contra milhares de contas diferentes. Resultado: nenhuma conta é bloqueada, e o ataque passa invisível pelos controles tradicionais de detecção.

No caso documentado pela Huntress, a campanha usou senhas como Empresa@2026, Welcome1 e variações do nome da organização — as mais comuns em ambientes corporativos brasileiros. IPs distribuídos por múltiplos países impediram o bloqueio geográfico. Requisições espaçadas evitaram limites de rate.

Microsoft 365 é o alvo perfeito para esse tipo de ataque: autenticação centralizada, usado por praticamente toda empresa, e com histórico de configurações padrão permissivas.

O que os logs mostram — e o que a maioria ignora

Um ataque de password spraying bem executado gera sinais nos logs de autenticação do Azure AD. O problema é que a maioria das equipes não está monitorando os indicadores certos:

  • Múltiplos erros de autenticação de IPs diferentes para a mesma conta em janelas de 30–60 minutos
  • Autenticações de países ou regiões incomuns — especialmente via legacy authentication protocols
  • Pico de tentativas fora do horário comercial — campanhas automatizadas não respeitam fuso horário
  • Uso de protocolos legados como IMAP, POP3 e SMTP AUTH, que contornam o MFA

Esse último ponto é crítico. MFA ativo não protege contas que ainda permitem autenticação via protocolo legado. O atacante simplesmente usa IMAP — e o MFA nunca é acionado. Veja as 10 dicas para fortalecer seu MFA e entenda quais configurações realmente fazem diferença.

O que configurar agora no seu tenant M365

Cinco ações com impacto imediato:

  1. Bloquear autenticação legada via Conditional Access — criar política que bloqueie todos os clientes que não suportam autenticação moderna
  2. Ativar Smart Lockout e configurar thresholds menores que o padrão (10 tentativas) — 5 é mais seguro para ambientes corporativos
  3. Habilitar Azure AD Identity Protection — detecta automaticamente comportamentos de login anômalos e pode exigir MFA em tempo real
  4. Revisar contas de serviço e shared mailboxes — frequentemente excluídas das políticas de MFA e alvos preferenciais
  5. Criar alerta no SIEM para o evento 50126 do Azure AD — falha de autenticação por credencial inválida, correlacionando volume por IP de origem

Para uma visão completa das ferramentas disponíveis para controle de acesso e proteção de identidade, confira as 10 ferramentas para gestão de identidade e acesso (IAM) — várias delas integram diretamente com ambientes Microsoft 365.

Prepare sua equipe para identificar e responder

Configuração é uma camada. A outra é ter analistas que saibam interpretar o que os logs estão dizendo antes que a conta seja comprometida.

A IBSEC forma profissionais com essa capacidade técnica:

Ou comece pela Certificação IBSEC gratuita — sem custo, em português, do nível Essencial ao Profissional.