Ataque de password spray à Azure CLI compromete dezenas de contas corporativas em nuvem
Aprofundamento CEVIU
Aprofundamento
O OAuth é um protocolo de autorização, não de autenticação, ou seja, ele delega permissão para acessar recursos em nome de um usuário, mas não valida quem é esse usuário. O ataque ao Azure CLI explorou justamente uma falha estrutural: o fluxo Resource Owner Password Credentials (ROPC), que foi depreciado no OAuth 2.1 por exigir que aplicações recebam credenciais em texto puro e as enviem diretamente ao servidor de autorização, sem passar pelo endpoint onde as políticas de Conditional Access são aplicadas. Isso cria uma brecha operacional crítica: mesmo com MFA habilitado, se a política não cobre 'todos os tipos de cliente', incluindo ferramentas como a Azure CLI, o ROPC ignora totalmente o controle.
Para equipes de governança de identidade, isso significa que ter MFA ativo não é suficiente. O que importa é *como* o MFA é acionado: se está configurado apenas para apps web ou para 'usuários administradores', ele falha silenciosamente contra ataques automatizados que usam clientes nativos, scripts ou CLIs. A lição técnica não é sobre desativar o Azure CLI, mas sobre restringir seu uso a perfis privilegiados, exigir MFA para todos os tipos de app (não só web), e desabilitar o ROPC em ambientes corporativos, algo possível via Azure AD App Registration > Authentication > 'Disable legacy auth flows'.
O que mudou
A cobertura CEVIU de 3 de julho já havia destacado o ataque e a ligação com o ROPC, mas não detalhava a evolução operacional: agora sabemos que o volume de tentativas disparou após 22 de junho (30 contas comprometidas em um único dia), indicando que os atacantes refinaram listas de credenciais com base em vazamentos anteriores e ajustaram a taxa de spray para evitar bloqueios por limite de falhas. Também há confirmação de que oito das 64 organizações afetadas tinham zero política de MFA, um retrocesso que contrasta com a maioria, que tinha MFA mal configurada, não inexistente.
Por que isso importa
Esse ataque expõe um risco sistêmico em arquiteturas de nuvem: a governança de identidade ainda é tratada como 'configuração inicial', não como ciclo contínuo de validação. Políticas de Conditional Access são frequentemente implantadas com escopo restrito ('só pra SharePoint', 'só pra admins') por medo de quebrar workflows legados, mas isso transforma o Azure CLI em porta de entrada privilegiada para invasores. Para CIOs e CISOs, o custo de revisar e ampliar o escopo dessas políticas é mínimo comparado ao impacto de uma única conta comprometida com permissões de Contributor ou Owner em assinaturas críticas.
Linha do tempo
Início da campanha de password spray contra Azure CLI usando ROPC
Pico de comprometimento: 30 contas em 23 empresas em um único dia
Fim do período analisado pela Huntress: 78 contas comprometidas em 64 organizações
Divulgação pública do ataque e análise técnica detalhada pela Huntress
Perguntas frequentes
O que é o fluxo ROPC e por que ele ainda existe no Azure?
ROPC (Resource Owner Password Credentials) é um fluxo OAuth 2.0 legado que permite apps enviarem usuário/senha diretamente ao servidor de autorização. Ele ainda existe por compatibilidade com sistemas antigos, mas Microsoft recomenda fortemente sua desativação, pois não suporta MFA, não gera logs de consentimento e foge do controle de Conditional Access.
Se minha empresa tem MFA ativo, por que fui atingida?
MFA foi contornada porque a política estava configurada apenas para apps web ou para grupos específicos. O Azure CLI usa um tipo de cliente diferente (native/public client), e o ROPC ignora completamente o endpoint de autorização onde as regras CAP são aplicadas. MFA precisa ser exigido para 'Todos os apps da nuvem' e 'Todos os tipos de cliente'.
Como saber se meu ambiente ainda aceita ROPC?
Acesse o Azure AD > App Registrations > selecione sua aplicação > Authentication > verifique se 'Allow public client flows' está ativado e se 'Disable legacy auth flows' não está marcado. Também é possível auditar logs de login com 'LegacyAuthMethod' = 'ROPC' no Azure AD Sign-in Logs.
É seguro continuar usando a Azure CLI?
Sim, desde que você restrinja seu uso a perfis privilegiados, exija MFA para todos os tipos de app, desative o ROPC globalmente e use Managed Identities ou certificados em vez de credenciais de usuário em automações. A CLI em si não é o problema; a configuração inadequada de identidade é.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU TI
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU TI

