Ataque massivo de password spray ao Azure CLI expõe falhas de MFA em dezenas de organizações
Aprofundamento CEVIU
Aprofundamento
O OAuth é um protocolo de autorização aberto, não de autenticação, ou seja, ele delega permissão para acessar recursos, mas não valida quem é o usuário. O fluxo ROPC (Resource Owner Password Credentials), usado nesse ataque ao Azure CLI, é uma exceção perigosa: ele aceita login direto com usuário e senha, ignorando totalmente os pontos de controle do OAuth, como o endpoint de autorização onde as políticas de Acesso Condicional (CAP) são aplicadas. Por isso, mesmo com MFA habilitado, se a política não cobrir 'todos os tipos de cliente' e 'todos os apps em nuvem', o ROPC passa por baixo, sem disparar desafio, sem gerar notificação, sem registrar falha no relatório de acesso multifator.
Isso não é falha do OAuth em si, mas da forma como organizações o implementam: o ROPC foi oficialmente removido do padrão OAuth 2.1 porque viola princípios básicos de segurança moderna. A Microsoft já alerta desde 2023 que ele deve ser evitado em produção. Ainda assim, centenas de ambientes ainda o permitem, muitas vezes por integrações legadas, scripts de automação mal atualizados ou ferramentas de DevOps que não suportam flows modernos como Authorization Code com PKCE.
O que mudou
Na cobertura CEVIU de 27 de março de 2026 sobre phishing com código de dispositivo phishing com código de dispositivo, já tínhamos um padrão claro: ataques que contornam MFA explorando lacunas na cobertura de políticas, não na fraqueza do mecanismo em si. Agora, em julho de 2026, o vetor mudou: não é mais um token roubado via engenharia social, mas um fluxo de autorização legítimo (ROPC) sendo usado de forma maliciosa por quem tem credenciais válidas. O que era teórico, 'MFA pode ser contornada se mal configurada', virou operacional em escala: 81 milhões de tentativas, 78 contas comprometidas, 64 organizações afetadas, todas com CAPs ativas, mas mal ajustadas para o Azure CLI.
Por que isso importa
Esse ataque não é só sobre senhas fracas. É sobre como as políticas de segurança são escritas, e onde elas deixam buracos. Se sua organização exige MFA apenas para 'apps web' ou 'usuários administradores', o Azure CLI roda como app nativo e acessa contas não-administrativas, e passa direto. Isso expõe dados sensíveis, pipelines CI/CD, chaves de storage e até recursos de infraestrutura como código (IaC). Em ambientes regulados, como bancos ou órgãos públicos, essa falha configura descumprimento de requisitos do Marco Regulatório de Segurança Cibernética (MRSC), artigo 9º, inciso II: 'controle de acesso baseado em contexto para todos os vetores de autenticação'.
Linha do tempo
Campanha de phishing com código de dispositivo contorna MFA no Microsoft 365, explorando lacunas de cobertura de políticas
FortiBleed revela escalada de ataques de credential spray contra serviços expostos, com foco em falhas de configuração de MFA
Ataque massivo de password spray ao Azure CLI explora ROPC para burlar Acesso Condicional mal configurado
Perguntas frequentes
O Azure CLI ainda suporta ROPC em 2026?
Sim, mas só se habilitado manualmente por administradores. O Azure AD não ativa ROPC por padrão. Ele depende de consentimento explícito em registros de aplicativos e permissões delegadas específicas. A Microsoft recomenda fortemente desabilitá-lo, e desde 2025, novos tenants criados no Azure AD bloqueiam ROPC por padrão.
Como saber se meu ambiente está vulnerável a esse tipo de ataque?
Verifique se há aplicações registradas no Azure AD com permissão 'delegated' para 'User.Read' ou 'Directory.Read.All' e se usam o fluxo ROPC. No relatório de 'Sinalização de Autenticação' do Azure AD, busque por logins com 'Client App = Other' e 'Authentication Method = Password'. Se aparecerem, seu ROPC está ativo e potencialmente exposto.
MFA por SMS ou email resolve esse problema?
Não. O ROPC não dispara nenhum método de MFA, nem SMS, nem email, nem push. Ele simplesmente ignora o estágio de segundo fator. A única forma eficaz é desabilitar o ROPC ou restringir seu uso a apps confiáveis com política de Acesso Condicional que exija MFA *antes* do token ser emitido, algo que o ROPC não permite.
Existe alternativa segura ao Azure CLI com autenticação por senha?
Sim: use login interativo com device code flow ('az login --use-device-code') ou certificados/identidades gerenciadas para ambientes automatizados. Ambos passam pelo endpoint de autorização e respeitam as políticas de Acesso Condicional. Scripts antigos com 'az login -u -p' devem ser reescritos imediatamente.
Links relacionados
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

