Na nossa nova série contínua do Delinea Labs, a nossa equipa de investigação analisa, todos os meses, as ameaças mais significativas focadas na identidade que moldam a cibersegurança. O nosso objetivo é ajudar os líderes de segurança a compreender como os adversários estão a evoluir, onde as arquiteturas de identidade estão sob pressão e que estratégias defensivas se estão a revelar mais eficazes. A identidade tornou-se o campo de batalha definidor da cibersegurança moderna. Credenciais, tokens e confiança são agora a moeda dos agentes maliciosos — e o negócio está a florescer. Todos os meses, condensaremos dados globais de violações, divulgações de vulnerabilidades e tendências de ransomware em insights acionáveis para empresas que navegam num cenário de ameaças cada vez mais orientado pela identidade.
A atividade de outubro de 2025 reforçou esta mudança. Os atacantes já não se limitam a roubar palavras-passe. Estão a transformar a própria confiança numa arma. Desde o roubo de tokens OAuth ao abuso de identidades de máquinas, os adversários estão a explorar as ligações e permissões que unem os ecossistemas digitais atuais.
O grande tema: a confiança tornou-se o alvo
A identidade sempre esteve no centro do risco cibernético, mas este mês provou que a própria confiança é a nova mercadoria. Os atacantes estão a ir além das palavras-passe, sequestrando tokens OAuth, contas de serviço e fluxos de consentimento para permanecer silenciosamente dentro de ambientes SaaS e cloud.
O abuso de tokens marcou o mês. Por exemplo, violações na cadeia de fornecimento da Salesforce propagaram-se através da reutilização de tokens OAuth, permitindo que atores maliciosos contornassem MFA e se deslocassem entre tenants. Outro exemplo é a campanha “CoPhish”, que embutiu fluxos de consentimento OAuth maliciosos no Microsoft Copilot Studio, concedendo aos adversários acesso legítimo a dados através de tokens aprovados pelos utilizadores.
Terceiros também ampliaram o raio de impacto dos ataques. O fornecedor de verificação do Discord expôs dados de identificação governamental, mostrando que integrações e conectores SaaS continuam a ser elos fracos na cadeia de identidade.
A reutilização de credenciais também persiste em larga escala. Um conjunto de 183 milhões de credenciais surgiu no Have I Been Pwned, das quais 16 milhões eram novas, evidenciando a persistência da exposição causada por infostealers.
O padrão é claro: os atacantes já não precisam de arrombar a porta quando podem simplesmente comprometer a confiança.
O que estamos a observar no Delinea Labs: a transformação dos tokens em armas e a exposição de identidades de máquinas
A atividade de outubro demonstrou que os adversários estão agora a operacionalizar o abuso de tokens e identidades de máquinas como ameaças escaláveis e de cadeia de fornecimento.
- Expansão da exploração de tokens OAuth: Grupos de ameaça reutilizaram tokens entre Salesforce, Atlassian e Slack, mantendo acesso prolongado sem desencadear alertas de login.
- Identidades de máquinas tornam-se caminhos invisíveis de ataque: Contas de serviço e credenciais API estáticas têm sido utilizadas cada vez mais para movimentos laterais, muitas vezes sem proprietário definido ou monitorização.
- Ecossistemas low-code emergem como zonas de risco: A campanha CoPhish destacou como ferramentas low-code, como o Microsoft Copilot Studio, podem ser manipuladas para incorporar fluxos de consentimento maliciosos em aplicações legítimas.
- Ransomware focado na identidade evolui: Qilin e Akira continuaram a dominar o cenário de ransomware, tirando partido de credenciais não geridas e tokens privilegiados para obter acesso inicial.
Infraestrutura de identidade sob pressão
A base da identidade na cloud enfrentou uma pressão significativa este mês — desde a autenticação à autorização e validação de tokens.
- A Microsoft Entra ID divulgou duas vulnerabilidades críticas (CVE-2025-59218 e CVE-2025-59246) que permitiam a exploração da validação de tokens e da lógica de confiança de service principals.
- Estas falhas ampliaram fraquezas observadas pela primeira vez no bug de personificação entre tenants de setembro (CVE-2025-55241), mostrando uma crise contínua nos limites de identidade em cloud.
- O Oracle E-Business Suite foi novamente alvo, desta vez através de uma zero-day (CVE-2025-61882) que permitia acesso ERP ao nível do sistema e extorsão.
- No ecossistema, foram registados 524 CVEs relacionados com identidade em outubro (um aumento acentuado face aos 420 de setembro), incluindo 43 em produtos de identidade.
Cada uma destas divulgações reforça um tema central: a infraestrutura de identidade tornou-se infraestrutura de ataque.
O que as empresas devem preparar a seguir
As empresas devem esperar que a economia da confiança continue a ser alvo de ataques. A próxima fase dos ataques de identidade irá focar-se em explorar a proliferação de contas, identidades de máquinas e relações de confiança entre tenants para expandir silenciosamente o alcance dos atacantes.
O que as organizações devem priorizar?
- Deteção contínua de ameaças de identidade que correlacione comportamento de tokens, padrões de consentimento e atividade API entre tenants em tempo real.
- Descoberta e governação de identidades de máquinas para eliminar contas de serviço e credenciais estáticas não geridas.
- Autenticação adaptativa e monitorização de consentimentos para ambientes SaaS e low-code, a fim de sinalizar ligações de aplicações de risco.
- Controlo e rotação de acesso privilegiado para garantir que tokens, segredos e credenciais não são reutilizados ou excessivamente permissivos.
A batalha pela identidade está a mudar de quem tu és para no que confias. À medida que as cadeias de identidade se tornam mais longas e interligadas, proteger as ligações entre elas nunca foi tão crítico.
Para aceder ao artigo original, clique aqui.
