Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica no Microsoft Defender para Office 365 que pode ser explorada por meio do recurso de acesso de convidados no Teams.
A falha permite que invasores contornem as proteções de segurança entre diferentes tenants (ambientes) do Microsoft 365.
Segundo Rhys Downing, pesquisador da Ontinue, “quando usuários atuam como convidados em outro tenant, as proteções aplicadas dependem exclusivamente do ambiente anfitrião, e não da organização de origem”.
Embora facilite a colaboração, essa dinâmica aumenta a responsabilidade das empresas em garantir que ambientes externos sejam confiáveis e devidamente protegidos.
A descoberta ganha relevância diante da recente atualização do Teams, que permite chats por e-mail com qualquer pessoa, mesmo que o destinatário não utilize a plataforma corporativa.
Lançado este mês, o recurso deve estar disponível globalmente até janeiro de 2026.
Ao receber o convite por e-mail, o usuário pode entrar na conversa como convidado ou, caso já tenha o Teams, receber a notificação diretamente no aplicativo.
A função vem ativada por padrão, mas administradores podem desativá-la por meio da política TeamsMessagingPolicy, configurando o parâmetro "UseB2BInvitesToAddExternalUsers" para "false".
No entanto, isso impede apenas o envio de convites, não o seu recebimento.
É importante destacar que o acesso de convidados (“guest access”) difere do acesso externo, que permite encontrar, chamar ou trocar mensagens com usuários do Teams fora da organização.
A falha, descrita como uma “lacuna arquitetural fundamental”, ocorre porque as proteções do Microsoft Defender para Office 365 podem não ser aplicadas quando o usuário atua como convidado em outro tenant — ou seja, passa a estar sujeito às políticas daquele ambiente externo, não às da sua própria empresa.
Esse cenário possibilita que um invasor crie “zonas livres de proteção” ao desativar controles de segurança em seus tenants ou ao utilizar licenças básicas, como Teams Essentials ou Business Basic, que não incluem o Defender para Office 365.
Após configurar esse tenant vulnerável, o atacante pode coletar informações sobre a organização-alvo e iniciar contato via Teams, enviando um convite automático para o e-mail da vítima.
Outro ponto crítico é que o convite chega diretamente à caixa de entrada do usuário como um e-mail legítimo, originado na infraestrutura da Microsoft, o que faz com que filtros SPF, DKIM e DMARC não o bloqueiem.
Soluções de segurança de e-mail dificilmente o identificam como ameaça.
Caso o usuário aceite o convite, ele passa a ser convidado no tenant malicioso, onde todas as comunicações futuras acontecem.
Assim, o invasor pode distribuir links de phishing ou anexos infectados, aproveitando-se da ausência das verificações Safe Links e Safe Attachments naquele contexto.
“Enquanto isso, a organização da vítima permanece totalmente alheia, já que suas defesas não disparam alertas porque o ataque ocorre fora do seu perímetro de segurança”, afirma Downing.
Para mitigar esse risco, especialistas recomendam restringir configurações de colaboração B2B, permitindo convites apenas de domínios confiáveis; estabelecer controles robustos de acesso entre tenants; limitar comunicações externas via Teams quando não forem essenciais; e treinar os usuários para identificar convites não solicitados.
A reportagem entrou em contato com a Microsoft para comentários e atualizará a matéria caso receba resposta.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...