Um ataque de password-spraying comprometeu contas do Microsoft 365, resultando em mais de 81 milhões de tentativas de login em um período de duas semanas. Os hackers utilizaram credenciais roubadas e exploraram políticas de acesso condicional mal configuradas para contornar a autenticação multifator (MFA). A campanha, observada pela empresa de cibersegurança Huntress, afetou 78 contas Microsoft em 64 organizações entre 12 e 26 de junho de 2026. Muitas das empresas visadas não tinham MFA implementada ou a aplicavam de forma inadequada, permitindo que os atacantes enviassem senhas diretamente ao endpoint de token sem um prompt de MFA interativo. Para mitigar esses riscos, recomenda-se que as organizações implementem MFA para todos os usuários e aplicativos em nuvem, restrinjam o uso do Azure CLI e respondam com base na validade das credenciais em vez do volume de tentativas de login.
Fonte: https://www.techradar.com/pro/security/81-million-login-attempts-hit-microsoft-365-accounts-as-hackers-try-password-spraying-to-force-entry-using-stolen-credentials-and-oauth-to-bypass-authentication
🚨BR DEFENSE CENTER: SECURITY BRIEFING
02/07/2026 • Risco: CRITICO
ATAQUE
Ataques a contas Microsoft 365: 81 milhões de tentativas de login
RESUMO EXECUTIVO
O ataque ao Microsoft 365 destaca a importância da implementação rigorosa de políticas de segurança, especialmente a MFA. As organizações devem revisar suas configurações de segurança para evitar compromissos que podem resultar em danos financeiros e de reputação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a acessos não autorizados e vazamento de dados.
Operacional
Comprometimento de 78 contas em 64 organizações.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'Educação']
📊 INDICADORES CHAVE
81 milhões de tentativas de login
Indicador
78 contas comprometidas
Contexto BR
64 organizações afetadas
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a implementação de MFA em todas as contas do Microsoft 365.
2
Implementar MFA para todos os usuários e restringir o uso do Azure CLI.
3
Monitorar tentativas de login e atividades suspeitas nas contas do Microsoft 365.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das contas do Microsoft 365, uma ferramenta crítica para muitas empresas. A falta de MFA adequada pode levar a compromissos significativos.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).