Serviço da Microsoft tem brecha vulnerável a ataques de autenticação, descobrem pesquisadores

Uma vulnerabilidade contida no Microsoft Entra ID permite o downgrade do método de autenticação para uma alternativa mais vulnerável

Igor Almenara Carneiro

schedule16/08/2025, às 10:00

updateAtualizado em 16/08/2025, às 10:24

Serviço da Microsoft tem brecha vulnerável a ataques de autenticação, descobrem pesquisadores

Pesquisadores da Proofpoint identificaram uma vulnerabilidade no Microsoft Entra ID, serviço de gerenciamento de identidade da Microsoft. Segundo os especialistas, o problema pode ser explorado por meio de um phishlet para o framework de ataque Evilginx AiTM, capaz de forçar o sistema de autenticação a adotar um método menos seguro.

“A sequência de ataque depende da existência de um método de autenticação alternativo (geralmente MFA), além do FIDO, para a conta de usuário alvo. Felizmente, porém, esse costuma ser o caso de implementações FIDO, já que a maioria dos administradores prefere manter uma opção prática para recuperação de conta”, explicam no artigo.

smart_display

Nossos vídeos em destaque

Leia mais: Polícia prende Hytalo Santos, influencer denunciado por exploração de menores

No ataque, o agente malicioso faz com que o usuário seja encaminhado para um mecanismo de autenticação mais vulnerável. (Fonte: Proofpoint/Reprodução)

Como acontece o ataque?

O alvo recebe um link de phishing por e-mail, SMS, solicitação OAuth ou outro canal de comunicação.
Ao clicar na URL maliciosa entregue pelo FIDO Downgrade phishlet, a vítima se depara com uma mensagem de erro solicitando que escolha uma opção alternativa de login.
Após autenticar-se na interface falsa, o criminoso intercepta as credenciais e o cookie de sessão, como em um ataque de phishing AiTM tradicional.
Com as informações capturadas, o invasor pode sequestrar a conta e a sessão ativa no navegador, acessando todos os recursos disponíveis ao usuário.

Quais são as consequências?

Uma vez dentro da conta, o atacante herda todos os privilégios do alvo. Se a vítima tiver baixo nível de acesso, o impacto pode ser limitado. No entanto, em casos envolvendo gerentes, supervisores ou executivos de alto escalão (C-level), informações sensíveis e estratégicas podem ser comprometidas e extraídas de diversas formas.

Brecha ainda não explorada

De acordo com a Proofpoint, não há registros do uso dessa técnica no mundo real até o momento. “Atualmente, não há evidências do uso dessa técnica por agentes de ameaças em campo”, afirmou o grupo. Eles destacam que a complexidade do método e a necessidade de conhecimento técnico avançado tornam a exploração menos comum.

Como se proteger?

Para evitar ataques desse tipo, recomenda-se desconfiar de qualquer link recebido, mesmo que venha de um contato aparentemente confiável. Um invasor pode utilizar uma conta comprometida para atingir outras pessoas dentro da mesma organização.

Outra medida importante é desativar métodos de autenticação menos seguros, impedindo o downgrade para opções mais vulneráveis.

Confira: Deputado tentou aliviar responsabilidades da Meta em casos de adultização, afirma reportagem

Acompanhe o TecMundo para se manter informado sobre as mais recentes vulnerabilidades, técnicas de ataque e dicas de segurança cibernética para proteger seus dados e dispositivos.

Perguntas Frequentes

O que é a vulnerabilidade descoberta no Microsoft Entra ID?

Trata-se de uma falha que permite o downgrade do método de autenticação de uma conta para uma alternativa mais vulnerável. Isso pode ser explorado por meio de um phishlet no framework Evilginx AiTM, possibilitando que um invasor contorne métodos mais seguros como o FIDO.

Como funciona o ataque utilizando essa vulnerabilidade?

O ataque começa com o envio de um link malicioso via e-mail, SMS ou outro canal. Ao clicar, a vítima é redirecionada para uma página falsa que simula um erro e solicita um método alternativo de login. Após inserir suas credenciais, o invasor intercepta os dados e o cookie de sessão, podendo assumir o controle da conta e da sessão ativa no navegador.

O que é o Evilginx AiTM e como ele é usado nesse contexto?

O Evilginx AiTM é um framework de ataque do tipo "Adversary-in-the-Middle" (AiTM), que permite interceptar credenciais e sessões de autenticação. No caso da vulnerabilidade do Microsoft Entra ID, ele é utilizado com um phishlet específico para forçar o downgrade do método de autenticação.

Quais são os riscos caso a conta comprometida pertença a um usuário com alto nível de acesso?

Se a conta invadida for de um gerente, supervisor ou executivo (nível C), o invasor pode acessar informações sensíveis e estratégicas da organização, o que amplia significativamente o impacto do ataque.

Essa vulnerabilidade já foi explorada em ataques reais?

Até o momento, segundo a Proofpoint, não há evidências de que essa técnica tenha sido utilizada por agentes maliciosos no mundo real. A complexidade do ataque e o conhecimento técnico necessário dificultam sua exploração em larga escala.

Por que a existência de métodos alternativos de autenticação facilita o ataque?

O ataque depende da presença de um método alternativo de autenticação além do FIDO. Isso é comum em implementações FIDO, pois administradores geralmente mantêm opções de recuperação de conta mais práticas, que acabam sendo menos seguras.

Como os usuários e administradores podem se proteger desse tipo de ataque?

É recomendável desconfiar de qualquer link recebido, mesmo que venha de fontes confiáveis, pois contas comprometidas podem ser usadas para enganar outros usuários. Além disso, desativar métodos de autenticação menos seguros ajuda a impedir o downgrade para opções vulneráveis.

Proofpoint

Igor Almenara Carneiro

Redator de tecnologia desde 2019, ex-Canaltech, atualmente TecMundo e um assíduo universitário do curso de Bacharel em Sistemas de Informação. Pai de pet, gamer e amante de músicas desconhecidas.

local_mall