Guia Cibersegurança

Além da senha: como os invasores contornam o MFA e como detê-los

Os proxies adversários intermediários completam sua autenticação em tempo real e, em seguida, saem com o token de sessão. Credenciais roubadas geram a maior parte do acesso inicial em violações corporativas. Este guia aborda como cada técnica de bypass funciona e quais controles fecham as lacunas.

4 de junho de 2026
12 minutos de leitura
Principais conclusões
  • Credenciais roubadas geram acesso inicial em mais de 80% das violações corporativas (Verizon DBIR). Os ataques do adversário no meio ampliaram essa lacuna, e não a estreitaram.
  • Os ataques de proxy AiTM retransmitem suas credenciais e o desafio MFA para o serviço de login real, capturam o token de sessão e retornam um login normal bem-sucedido. TOTP e notificações push não oferecem proteção.
  • As chaves de acesso FIDO2 e as chaves de segurança de hardware interrompem os ataques AiTM porque o desafio criptográfico está vinculado ao URL de origem exato. Um domínio de phishing enfrenta um desafio diferente e não pode assinar nada.
  • Os ataques pass-the-cookie reproduzem tokens de sessão roubados sem a necessidade de credenciais. As políticas de vida útil do token, a conformidade do dispositivo de acesso condicional e o CAE são os principais controlos.
  • Os ataques de fadiga do MFA enviam notificações push em rápida sucessão até que um usuário aprove uma para fazê-los parar. A correspondência de números evita isso: o usuário deve digitar um número mostrado na tela de login, portanto, o toque automático não faz nada.
  • A defesa de credenciais requer MFA resistente a phishing em contas privilegiadas, acesso condicional com conformidade de dispositivos, vida útil curta de tokens e alertas sobre viagens impossíveis e logins de dispositivos vistos pela primeira vez.

As credenciais são o principal vetor de violação

Os relatórios de violações empresariais durante a década de 2010 centraram-se em malware: grupos de ransomware, implantes em estados-nação, explorações de dia zero. Desde então, os invasores passaram a roubar credenciais. É mais barato, mais rápido e mais difícil de detectar. Um login de conta legítimo por meio de um provedor de identidade autorizado parece um login normal para a maioria dos sistemas de monitoramento.

O Verizon DBIR coloca credenciais roubadas em mais de 80% das violações relacionadas a hackers. A oferta é enorme: o HaveIBeenPwned indexa mais de 13 bilhões de contas violadas de centenas de violações históricas. As ferramentas de preenchimento testam isso em escala com otimização de solicitações e rotação de IP para evitar limitação de taxa.

O MFA interrompe o preenchimento de credenciais e a maioria dos ataques automatizados. Os atacantes se adaptaram. Um subconjunto agora tem como alvo a sessão de autenticação em vez das credenciais, e TOTP ou notificações push não oferecem proteção contra esses ataques.

80%+
das violações relacionadas a hackers envolvem credenciais roubadas (Verizon DBIR)
13B+
credenciais violadas indexadas por HaveIBeenPwned a partir de violações de dados históricos
3x
aumento nos ataques de phishing AiTM direcionados a locatários Microsoft 365 entre 2022 e 2024

Seis métodos de bypass

Os ataques de credenciais diferem de acordo com o que visam e como são bem-sucedidos. Um controle que interrompe o preenchimento de credenciais não pode fazer nada contra o roubo de token de sessão.

🕸
1. Proxy Adversário no Meio (AiTM)
Alto risco
O invasor implanta um proxy reverso (EvilGinx2, Modlishka) em um domínio de phishing. O usuário insere as credenciais e conclui o desafio MFA normalmente. O proxy encaminha tudo para o serviço de login real em tempo real, captura o cookie de sessão que o site real retorna e retransmite de volta a página de login bem-sucedida. O usuário não vê nada de errado. O invasor mantém um token de sessão válido sem nenhum uso adicional das credenciais ou do MFA. Parado por: MFA resistente a phishing FIDO2 (o desafio criptográfico vinculado à origem falha no domínio de phishing). Parcialmente mitigado por: conformidade do dispositivo de acesso condicional, CAE, vida útil curta da sessão.
🍪
2. Repetição do token de passagem / sessão
Alto risco
Infostealers como Redline e Vidar extraem tokens de sessão da memória do navegador, armazenamento local ou perfis de navegador em um dispositivo comprometido. O invasor importa o token para seu próprio navegador e reproduz a sessão autenticada. Sem credenciais. Sem MFA. Isso funciona contra qualquer fator MFA enquanto o token permanecer válido. Interrompido por: sessões curtas, acesso condicional com conformidade do dispositivo (vincula a sessão ao dispositivo gerenciado), avaliação de acesso contínuo (CAE) que revoga tokens quase em tempo real quando sinais de risco aparecem e alertas de viagens impossíveis em logs de acesso.
🔔
3. Fadiga do MFA (bombardeio push)
Risco Médio
O invasor possui credenciais válidas e dispara repetidas notificações push para o telefone do alvo. A violação do Uber em 2022 começou assim: um contratante recebeu notificação após notificação e aprovou uma para fazê-los parar. O agressor entrou em poucos minutos. Mitigado por: habilitar a correspondência de números nas notificações push do autenticador (o usuário deve digitar o número mostrado na tela de login, tornando o toque automático inútil), adicionar contexto às notificações push e limitar as tentativas push por sessão.
📱
4. Troca de SIM
Risco Médio
O invasor liga para a operadora móvel do alvo, se faz passar por ela usando engenharia social ou dados pessoais roubados e redireciona o número de telefone para um SIM que ele controla. Cada código SMS vai para o invasor. Isso é mais importante onde o SMS é a única opção do MFA. Os ambientes corporativos que já usam aplicativos autenticadores enfrentam exposição limitada. Mitigado por: substituição de SMS por aplicativos autenticadores ou FIDO2. Se o SMS não puder ser removido, os códigos PIN da operadora ou os recursos de bloqueio de conta reduzem o risco.
🤖
5. Preenchimento de credenciais em escala
Risco Médio
Ferramentas automatizadas testam pares de credenciais violadas em relação a serviços de destino em grande escala. A maioria falha em contas com senhas exclusivas e MFA. Os que tiveram sucesso exploram a reutilização: uma violação do fórum de 2019 ainda abre um locatário da empresa Microsoft 365 se o usuário nunca alterou a senha. Contas sem MFA são o alvo principal. Interrompido por: MFA em todas as contas, monitoramento de violação de senha (Entra ID Identity Protection inclui integração HIBP) e acesso condicional bloqueando protocolos de autenticação legados que ignoram os desafios do MFA.
🔑
6. Phishing de consentimento OAuth
Risco Médio
O invasor registra um aplicativo OAuth malicioso e envia um link ao alvo. O usuário faz login através de sua conta Microsoft 365 ou Google real, completa o MFA e aprova o que parece ser uma caixa de diálogo de permissões de rotina. O aplicativo do invasor agora tem acesso delegado persistente a emails, arquivos ou contatos. Alterar a senha não remove nada. A concessão de consentimento persiste até que um administrador a revogue. Mitigado por: Políticas de consentimento de aplicativos Entra ID que bloqueiam aplicativos não verificados, restringem o consentimento do usuário a aplicativos pré-aprovados e monitoram o log de auditoria do locatário para novas concessões OAuth.

O que cada tipo de MFA realmente interrompe

A escolha do fator MFA determina a superfície de ataque. SMS OTP e notificações push interrompem o preenchimento de credenciais. Nenhum dos dois impede um ataque AiTM em tempo real. Saber onde termina a proteção de cada fator informa qual atualizar primeiro.

Tipo MFA
Preenchimento de credenciais
Proxy AiTM
Repetição da sessão
SMS OTP
Paradas
Ignorado
Ignorado
TOTP (aplicativo autenticador)
Paradas
Ignorado
Ignorado
Push + correspondência de número
Paradas
Ignorado
Ignorado
FIDO2 / senha
Paradas
Paradas
Parcial*

* FIDO2 interrompe o AiTM na autenticação, mas não protege os tokens de sessão após um login legítimo. A conformidade do dispositivo e o CAE são necessários para a segurança da sessão pós-autenticação.

O que torna o FIDO2 diferente

Códigos TOTP, aprovações push e mensagens SMS compartilham uma propriedade: podem ser encaminhados. O usuário completa o desafio e o proxy o retransmite. A sessão é aberta. O proxy pega o cookie.

FIDO2 funciona de maneira diferente. A chave privada fica no dispositivo e nunca sai dele. O navegador assina um desafio que inclui o URL de origem solicitante. Um domínio de phishing em login-microsoft-365.com recebe um desafio carimbado com esse domínio. O navegador compara-o com a origem registrada, login.microsoft.com, e se recusa a assinar. O proxy não recebe nada para encaminhar.

O NIST SP 800-63B classifica o FIDO2 como resistente a phishing exatamente por esse motivo. Tanto o CISA quanto o NCSC o recomendam para contas de alto valor.

Uma nota sobre o push MFA

Um usuário que recebe solicitações push repetidas pode aprovar uma apenas para interromper o ruído. Os dados do Microsoft mostram que a correspondência de números reduz as taxas de aprovação durante o push bombing em mais de 99%. Se você usar push MFA, habilitá-lo é uma alteração de configuração gratuita que remove quase todos os ataques de fadiga MFA bem-sucedidos.

Defesa contra ataques na camada de sessão

O roubo de token de sessão ocorre após a autenticação. Os controles importantes aqui atuam no tempo de vida do token e na vinculação do dispositivo, e não no login em si.

Políticas de vida útil do token

Os tokens de acesso de longa duração dão ao invasor tempo para usar uma sessão roubada. As políticas de vida útil do token de ID Entra reduzem essa janela para aplicativos confidenciais, mas sessões mais curtas significam reautenticação mais frequente. A Avaliação de Acesso Contínuo (CAE) resolve ambos para aplicativos suportados: ela revoga tokens quase em tempo real quando o Entra ID detecta um evento de risco, como uma entrada de viagem impossível ou um comprometimento relatado.

Vinculação de dispositivos por meio de acesso condicional

O Acesso Condicional com conformidade do dispositivo verifica se o dispositivo de origem da sessão está inscrito e gerido. Um invasor que reproduz um token roubado de uma máquina não gerenciada falha na verificação de conformidade e é bloqueado. Os tokens roubados param de funcionar em aplicativos que aplicam esta política.

Monitoramento de anomalias de token

Alertas de viagens impossíveis captam logins de locais fisicamente incompatíveis. Um usuário que se autenticou em Amsterdã às 09h00 também não pode fazer login de Moscou às 09h15. O Entra ID Identity Protection e o Microsoft Sentinel revelam essas detecções. Conecte-os a respostas automatizadas: revogação de sessão, reautenticação forçada ou um alerta para a equipe de segurança.

Comece com contas privilegiadas

O MFA resistente a phishing oferece seu maior valor nas contas que possuem mais acesso. Contas administrativas, contas de serviços elevados, equipe financeira e membros do conselho representam uma pequena fração dos seus usuários, mas são responsáveis ​​pela maior parte dos danos que um ataque de credenciais bem-sucedido pode causar.

A implementação do FIDO2 em uma grande organização leva tempo: distribuição de dispositivos, treinamento de usuários, implementação de políticas. As 20 contas mais importantes podem ser atendidas em dias. Comece com políticas de acesso condicional que exigem autenticação resistente a phishing para acesso a funções privilegiadas e PIM para evitar que funções administrativas permaneçam permanentemente ativas.

Contas de administrador protegidas por TOTP são o alvo do prêmio nas campanhas AiTM. A credencial, o código MFA e o token de sessão fluem através do mesmo proxy. O FIDO2 quebra essa cadeia: a chave nunca sai do dispositivo, a assinatura nunca corresponde a um domínio de phishing.

Sete controles para implementar agora

  • Habilite a correspondência de números em todos os push MFA: uma configuração de autenticador gratuita que impede o push bombing.
  • Bloqueie protocolos de autenticação legados: SMTP AUTH, POP3, IMAP e clientes Office mais antigos ignoram o MFA e são o caminho de preenchimento de credenciais mais comum.
  • Aplique MFA resistente a phishing para contas privilegiadas: As políticas de força de autenticação de acesso condicional podem exigir FIDO2 para funções administrativas hoje.
  • Habilite a proteção de identidade do ID de entrada: pontuação de risco em tempo real para logins, detecção de vazamento de credenciais via HIBP e políticas de resposta automatizadas.
  • Configurar avaliação de acesso contínuo: ele revoga tokens Microsoft 365 quase em tempo real quando o Entra ID detecta um evento de risco.
  • Restringir o consentimento do aplicativo OAuth: defina políticas de consentimento para todo o locatário no Entra ID para impedir que os usuários aprovem aplicativos de terceiros não verificados.
  • Monitore viagens impossíveis e logins em novos dispositivos: configure regras de alerta para que padrões de sessão anômalos acionem notificação imediata ou revogação automática.

Perguntas comuns

O que é um ataque do adversário intermediário?

Um ataque AiTM executa um proxy reverso entre o usuário e a página de login real. O usuário visita um URL de phishing, insere credenciais e conclui o desafio MFA. The proxy forwards all of it to the real site in real time, collects the session cookie, and holds a valid token with no further need for the user's password or MFA code. Ferramentas como EvilGinx2 e Modlishka automatizam isso. TOTP e push MFA falham aqui porque a autenticação é concluída legitimamente por meio do proxy.

O FIDO2 impede ataques de adversários intermediários?

As chaves de acesso FIDO2 e as chaves de segurança de hardware estão vinculadas ao URL de origem no registro. Uma chave de acesso registrada em login.microsoft.com não assinará um desafio de um domínio semelhante: o navegador verifica a origem e recusa. O NIST classifica o FIDO2 como resistente a phishing por esse motivo; TOTP não recebe tal classificação. Um limite: o FIDO2 não protege tokens de sessão após um login legítimo. A conformidade do dispositivo e a avaliação de acesso contínuo tratam disso separadamente.

Como faço para impor o MFA resistente a phishing no Microsoft 365?

No Microsoft Entra ID, vá para Segurança, Métodos de autenticação, Forças de autenticação. Crie uma política de força personalizada que exija chave de acesso (FIDO2) ou Windows Hello para Empresas. Crie uma política de acesso condicional aplicando essa força aos seus aplicativos mais confidenciais ou a todos os usuários. Para contas privilegiadas, torne isso incondicional. Os usuários sem uma chave de segurança de hardware podem usar o Autenticador Microsoft com suporte de chave de acesso como autenticador FIDO2.

Qual é a diferença entre preenchimento de credenciais e um ataque AiTM direcionado?

O preenchimento de credenciais é automatizado e não direcionado. Os invasores executam listas de nomes de usuário e senhas violadas em serviços comuns em grande escala, explorando a reutilização de senhas. Senhas exclusivas e MFA impedem a maior parte disso. An AiTM attack is targeted and active: the attacker phishes a specific user, runs a proxy to intercept the authentication session in real time, and walks away with a valid session token. O MFA não oferece proteção aqui; combatê-lo requer autenticação resistente a phishing ou detecção de anomalias de sessão.

Avaliação de segurança de identidade

Descubra se seu MFA pode ser ignorado

We test your Conditional Access policies, authentication strength configuration, and session controls against current AiTM and credential attack techniques and give you a prioritised fix list.