Ataques a contas Microsoft 365 81 milhões de tentativas de login
Um ataque de password-spraying comprometeu contas do Microsoft 365, resultando em mais de 81 milhões de tentativas de login em um período de duas semanas. Os hackers utilizaram credenciais roubadas e exploraram políticas de acesso condicional mal configuradas para contornar a autenticação multifator (MFA). A campanha, observada pela empresa de cibersegurança Huntress, afetou 78 contas Microsoft em 64 organizações entre 12 e 26 de junho de 2026. Muitas das empresas visadas não tinham MFA implementada ou a aplicavam de forma inadequada, permitindo que os atacantes enviassem senhas diretamente ao endpoint de token sem um prompt de MFA interativo. Para mitigar esses riscos, recomenda-se que as organizações implementem MFA para todos os usuários e aplicativos em nuvem, restrinjam o uso do Azure CLI e respondam com base na validade das credenciais em vez do volume de tentativas de login.
