Quando o MFA Não Foi Suficiente: Análise de um Incidente AitM Real

Atacantes estão migrando do roubo de credenciais para a apropriação de tokens de autenticação para obter acesso inicial. Em um incidente observado pelo autor, um agressor conseguiu roubar um token de autenticação através de um proxy AitM do Microsoft 365, mas não alcançou seus objetivos devido à rápida detecção e resposta. Em um segundo incidente, o agressor falhou em roubar um token porque a organização utilizava chaves de segurança FIDO2, o que fez com que a tentativa de autenticação via proxy AitM não fosse bem-sucedida.