Mfa

A Microsoft anunciou que, a partir de outubro de 2024, a autenticação multifator (MFA) será obrigatória para todos os acessos ao portal Azure, como parte de um esforço para aumentar a segurança das contas dos usuários. Pesquisas da empresa indicam que a implementação da MFA pode prevenir mais de 99,2% dos ataques de comprometimento de contas, tornando essa medida crucial para a proteção de recursos na nuvem. A primeira fase da implementação exigirá MFA para operações administrativas em portais como o Azure e o Microsoft 365, enquanto a segunda fase, prevista para outubro de 2025, incluirá ferramentas de linha de comando e APIs. Os usuários que já utilizam MFA ou métodos de login sem senha não notarão mudanças, mas aqueles que não configuraram a MFA serão solicitados a fazê-lo ao tentar acessar suas contas. A Microsoft recomenda que as organizações revisem suas políticas de acesso condicional e realizem testes antes da implementação para evitar interrupções. Essa mudança visa reduzir a superfície de ataque e proteger recursos críticos contra acessos não autorizados.

Uma nova campanha de roubo de credenciais, identificada como MCTO3030 pela equipe de pesquisa de ameaças da Mimecast, está atacando administradores dos serviços em nuvem ConnectWise ScreenConnect. Desde 2022, essa operação tem utilizado táticas avançadas de phishing direcionado, visando profissionais de TI com privilégios de superadministrador. Os ataques são realizados através do Amazon Simple Email Service (SES), permitindo alta taxa de entrega ao explorar uma infraestrutura respeitável para contornar mecanismos de filtragem. Os e-mails, que imitam alertas de segurança corporativa, induzem os destinatários a clicar em um botão de “Revisar Segurança”, redirecionando-os para páginas de login falsas do ScreenConnect. Essas páginas utilizam frameworks EvilGinx para capturar credenciais de login e códigos de autenticação multifatorial (MFA) em tempo real, permitindo que os atacantes obtenham acesso total, mesmo com MFA em vigor. Com as credenciais de superadministrador, os cibercriminosos podem se mover lateralmente em ambientes corporativos, potencialmente implantando clientes remotos e distribuindo cargas maliciosas, como ransomware. A Mimecast recomenda que as organizações adotem medidas de defesa, como MFA resistente a phishing e restrições de acesso para superadministradores.