# Microsoft Corporaté Breach 2024 > [!danger] APT29 comprometeu emails de executivos da Microsoft via tenant legado sem MFA > Entre novembro de 2023 e janeiro de 2024, o [[g0016-apt29|APT29 / Cozy Bear]] (Midnight Blizzard) comprometeu caixas de email de executivos seniores, equipes de segurança e juridico da Microsoft via password spraying em tenant de teste legado sem autenticação multifator. O grupo buscava inteligência sobre o que a propria Microsoft sabia das operações russas - incluindo comúnicacoes sobre o SolarWinds. ## Visão Geral O **Microsoft Corporaté Breach 2024** e um estudo de caso sobre como um dos grupos APT mais sofisticados do mundo utilizou um vetor elementar - password spraying em uma conta de teste sem MFA - para comprometer a maior empresa de software do planeta. O [[g0016-apt29|APT29]] (rastreado pela Microsoft como **Midnight Blizzard** e anteriormente como Nobelium, o mesmo grupo do SolarWinds) nao precisou de zero-days ou malware customizado: um tenant de teste legado com credenciais fracas e sem MFA foi suficiente. A partir do acesso inicial, o grupo moveu-se lateralmente abusando de **aplicações OAuth** com permissoes excessivas (`full_access_as_app` no Exchange Online), criou service principals com privilegios administrativos sem aprovacao global e acessou caixas de email de executivos de nivel C-suite, alem das equipes juridica e de segurança da Microsoft. O objetivo nao era destruicao nem extorsao - era **inteligência sobre inteligência**: saber o que a Microsoft sabia sobre as operações do proprio APT29, incluindo comúnicacoes com clientes sobre o compromisso [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]] de 2020. O incidente foi descoberto em 12 de janeiro de 2024 e divulgado públicamente pela Microsoft em 19 de janeiro - uma velocidade de divulgacao notavelmente rapida para um incidente de alto impacto reputacional. A **Hewlett Packard Enterprise (HPE)** divulgou compromisso similar no mesmo período. A campanha demonstra que **a sofisticacao de um ator APT e calibrada ao objetivo**: quando um vetor simples funciona, ele e preferido. Para LATAM, a lição e que tenants legados, aplicações OAuth com permissoes excessivas e ausência de MFA em ambientes corporativos sao vetores de entrada igualmente exploraveis por atores menos sofisticados. ## Attack Flow - Microsoft Corporaté Breach ```mermaid graph TB A["🔑 Password Spraying<br/>Tenant de teste sem MFA"] --> B["🔓 Acesso ao Tenant Legacy<br/>Credenciais compartilhadas com prod"] B --> C["🔧 OAuth App Compromise<br/>full_access_as_app Exchange Online"] C --> D["👤 Service Principal Criado<br/>Admin sem aprovacao global"] D --> E["📧 E-mails de Executivos<br/>C-Suite, juridico, segurança"] E --> F["💀 Inteligencia sobre o SVR<br/>SolarWinds + capacidades Microsoft"] classDef initial fill:#1a2a3a,color:#aaccff,stroke:#2980b9 classDef escalaté fill:#2a1a3a,color:#ccaaff,stroke:#8e44ad classDef impact fill:#3a2a1a,color:#ffcc88,stroke:#e67e22 class A,B initial class C,D escalaté class E,F impact ``` **Microsoft Corporaté Breach 2024** é uma campanha de espionagem corporativa atribuída ao [[g0016-apt29|APT29 / Cozy Bear]] - rastreado pela Microsoft como **Midnight Blizzard** e anteriormente como Nobelium - que comprometeu **caixas de e-mail de executivos seniores e das equipes de segurança e jurídico da Microsoft** entre novembro de 2023 e janeiro de 2024. O ataque explorou um **tenant de teste legado sem MFA** via *password spraying*, usando depois abuso de aplicações OAuth para movimento lateral. Descoberto em 12 de janeiro de 2024, o incidente revelou como vetores simples exploram gaps em ambientes cloud de grande escala - mesmo na maior empresa de software do mundo. A **Hewlett Packard Enterprise (HPE)** sofreu ataque similar no mesmo período. ## Resumo Operacional O APT29 não utilizou malware sofisticado nesta operação - a entrada foi feita com password spraying em uma conta legada e sem MFA. O valor do alvo era o acesso a inteligência sobre o que a Microsoft sabia das operações do próprio grupo, incluindo comúnicações com clientes sobre o [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]] de 2020. O incidente demonstra como a sofisticação de um ator APT pode ser deliberadamente calibrada: quando um vetor simples funciona, ele é preferido. ## Detalhes Técnicos ### Fase 1 - Acesso Inicial via Password Spraying | Parâmetro | Detalhes | |-----------|----------| | **Técnica** | T1110.003 - Password Spraying | | **Alvo** | Tenant de teste legado no Entra ID (Azure AD) da Microsoft | | **Proteção** | Sem MFA configurado na conta | | **Método** | Senhas comuns testadas em múltiplas contas a partir de IPs variados (evita bloqueios por raté limiting) | | **Credenciais reutilizadas** | Conta de teste compartilhava credenciais com tenant de produção | A escolha de um **tenant de teste** - um ambiente de desenvolvimento/QA esquecido com acesso privilegiado ao tenant de produção - foi a falha fundamental. Tenants de teste frequentemente carecem dos controles de segurança aplicados a ambientes de produção. ### Fase 2 - Escalonamento via Abuso de OAuth Após comprometer a conta de teste, os operadores do APT29 utilizaram as permissões da conta para: 1. **Acessar aplicação OAuth legada** com permissões elevadas no tenant corporativo da Microsoft 2. **Criar novas aplicações OAuth maliciosas** como *service principals*, concedendo-lhes roles específicos 3. **Role crítica explorada:** `full_access_as_app` no **Office 365 Exchange Online** - permissão que dá acesso de leitura a qualquer caixa de e-mail da organização 4. **Criar usuário admin:** Com permissões `Directory.ReadWrite.All` e `RoleManagement.ReadWrite.Directory`, criando usuário que consentiu com as apps maliciosas **sem precisar de aprovação de admin global** | Fase de Escalada | Técnica MITRE | Ação | |------------------|---------------|------| | Escalada de privilege | T1098.001 Additional Cloud Credentials | Comprometimento de app OAuth legada | | Evasão | T1136.003 Cloud Account Creation | Criação de apps OAuth e usuário malicioso | | Coleta | T1114.002 Remote Email Collection | Acesso a caixas via `full_access_as_app` | ### Dados Acessados - **E-mails de liderança sênior da Microsoft** - incluindo comúnicações de C-suite - **E-mails das equipes de segurança e jurídico** - particularmente relevantes dado o interesse do APT29 em entender o que a Microsoft sabia sobre suas operações - **Repositórios internos de código-fonte** (mencionados em disclosures posteriores) - **Segredos de clientes compartilhados em e-mails** - gerando notificações subsequentes a clientes afetados O APT29 buscava específicamente **inteligência sobre o que a Microsoft sabia das operações do SVR** - incluindo informações sobre investigações do [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]] e capacidades de detecção da empresa. ### Ataques de Follow-On Após a exposição em janeiro de 2024, o APT29 escalou operações: - **Outubro 2024:** Campanha massiva de spear-phishing via **arquivos RDP** contra governos, ONGs e organizações de TI em 100+ países - **Phishing Teams/OAuth:** Campanhas de phishing via Microsoft Teams para roubo de tokens OAuth ## Vítimas Relacionadas **Hewlett Packard Enterprise (HPE):** Divulgou ataque similar em seu ambiente cloud de e-mail no mesmo período, também atribuído ao Midnight Blizzard/APT29. A simultaneidade sugere campanha coordenada do SVR contra fornecedores de tecnologia estratégicos. ## Implicações e Lições **Para o setor de tecnologia:** - **Contas e tenants legados** são vetores de alto risco - mesmo em organizações com maturidade de segurança excepcional - **OAuth e aplicações legadas** representam superfície de ataque crítica em ambientes cloud corporativos - **MFA é não-negociável** - inclusive para contas de desenvolvimento, teste e serviço **Para defesa:** - Bloquear protocolos de autenticação legada via Conditional Access (Entra ID) - Auditar e limitar permissões de aplicações OAuth registradas - Segmentar tenants de teste do ambiente de produção - Monitorar criação anômala de apps OAuth e consentimentos de usuário ## Linha do Tempo | Data | Evento | |------|--------| | **Novembro 2023** | Operadores APT29 iniciam password spraying | | **12 Ján 2024** | Microsoft detecta o comprometimento | | **19 Ján 2024** | Microsoft divulga públicamente o incidente via SEC 8-K | | **Ján 2024** | HPE divulga ataque similar | | **Março 2024** | Microsoft reporta que Midnight Blizzard acessou código-fonte | | **Out 2024** | APT29 lança campanha de phishing RDP em larga escala | - [[g0016-apt29|APT29 / Cozy Bear]] - [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]] - [[t1110-brute-force|T1110.003 - Password Spraying]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1098-account-manipulation|T1098.001 - Additional Cloud Credentials]] - [[covid-19-vaccine-espionage|COVID-19 Vaccine Espionage]] - [[european-diplomatic-phishing-2025|European Diplomatic Phishing 2025]] - [[technology]] ## Impacto O comprometimento expôs comúnicações estratégicas internas da Microsoft - incluindo e-mails de C-suite, equipes de segurança e jurídico - e código-fonte de repositórios internos. Clientes foram notificados sobre segredos compartilhados em e-mails que foram acessados pelo APT29. O incidente demonstrou que mesmo organizações com o mais alto nível de maturidade de segurança são vulneráveis a vetores de baixa sofisticação (password spraying) quando gaps em ambientes legados não são endereçados. A HPE e outros fornecedores de tecnologia sofreram ataques simultâneos, sugerindo uma campanha coordenada do SVR russo contra a cadeia de valor tecnológica ocidental. ## Relevância LATAM/Brasil Empresas brasileiras que utilizam produtos Microsoft 365 e Azure AD são diretamente afetadas pelas lições deste incidente. Tenants de teste e desenvolvimento sem MFA são um gap crítico comum em organizações da região. A campanha reforça a necessidade de auditar aplicações OAuth registradas, revogar credenciais de tenants legados e implementar Conditional Access abrangente em ambientes Azure AD. Equipes de segurança brasileiras devem verificar se há contas de serviço ou tenants de desenvolvimento sem MFA em seus ambientes Microsoft 365. ## Referências - Microsoft Security Blog: "Midnight Blizzard - Guidance for responders on nation-state attack" (Janeiro 2024) - Mitiga: "Microsoft Breach by Midnight Blizzard - What Happened and What Now" - CyberArk: "APT29's Attack on Microsoft: Tracking Cozy Bear's Footprints" - Microsoft: "Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard" (Março 2024) - breaches.cloud: Incident analysis O365-2024