Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Conta de ambiente de testes não tinha autenticação de dois fatores. Hackers russos queriam descobrir o que a Microsoft sabe sobre eles.

Giovanni Santa Rosa

A Microsoft detalhou um ataque hacker a seus sistemas, que permitiu acesso a e-mails corporativos de lideranças da empresa. A invasão foi possível porque havia uma conta de testes sem autenticação de dois fatores. Foi a partir dela que os atacantes conseguiram acesso às plataformas. A companhia atribui a ação ao grupo russo Midnight Blizzard e alerta que outras organizações estão sob risco.

O ataque foi revelado no último dia 19 de janeiro, quando a Microsoft comunicou o ocorrido à SEC, entidade responsável por fiscalizar o mercado financeiro nos EUA. Nesta sexta (26), a empresa publicou os detalhes em seu blog.

A invasão usou a técnica de pulverização de senha, também conhecida como password spray. Nesta técnica, os hackers usam algumas senhas comum (às vezes, apenas uma) para tentar entrar em várias contas ao mesmo tempo. Segundo a Microsoft, o grupo “adaptou seus ataques de pulverização de senhas a um número limitado de contas, usando poucas tentativas para não ser detectado”.

Deu certo. Os atacantes conseguiram entrar em uma conta de teste legada e não produtiva, nas palavras da própria Microsoft. Isso significa que essa conta não era usada para trabalho, apenas para testes de um ambiente antigo. Ela não contava com autenticação de dois fatores (2FA). Isso teria impedido o ataque.

Com acesso a essa conta, os hackers comprometeram um aplicativo de teste com autenticação OAuth e o utilizaram para conseguir mais acessos nos sistemas da Microsoft.

Campus da Microsoft em Redmond (imagem: Stephen Brashear/Microsoft)
Lideranças dos departamentos de cibersegurança e legal da Microsoft tiveram seus e-mails acessados (Imagem: Stephen Brashear/Microsoft)

Hackers podem ter atacado outras organizações

A Microsoft diz que o grupo conhecido como Midnight Blizzard foi o responsável pela invasão. Ele também é conhecido como Nobelium, APT29 e Cozy Bear. Suspeita-se que os hackers estejam trabalhando a serviço do Serviço de Inteligência Estrangeiro da Rússia.

A empresa diz que os hackers conseguiram acesso a um número muito pequeno de contas de e-mail corporativo da Microsoft, nas áreas de liderança, cibersegurança e legal. Curiosamente, o objetivo dos hackers parecia ser encontrar informações sobre eles mesmos, para descobrir o que a companhia sabia.

Além disso, a Microsoft afirma que os mesmos atacantes têm atacado outras organizações, que estão sendo notificadas pela empresa. A Hewlett Packard Enterprise, braço da HP dedicado a clientes corporativos, revelou que seu sistema de e-mail também foi hackeado. O serviço é hospedado pela Microsoft. O grupo Midnight Blizzard também foi responsável por este ataque.

Com informações: TechCrunch, Bleeping Computer, The Verge

Leia | Como uma senha pode ser descoberta por hackers

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.