A Microsoft anunciou que o Outlook para Web e a nova versão do Outlook para Windows deixarão de exibir imagens inline em formato SVG consideradas de risco, usadas em ataques cibernéticos.
A atualização começou a ser implementada globalmente no início de setembro de 2025 e deve ser concluída para todos os usuários até meados de outubro de 2025.
Segundo a empresa, essa mudança afetará menos de 0,1% das imagens enviadas via Outlook, o que indica um impacto mínimo após a conclusão do rollout.
“Imagens SVG inline não serão mais exibidas no Outlook para Web nem no novo Outlook para Windows.
Em vez disso, os usuários verão espaços em branco onde essas imagens deveriam aparecer”, informou a Microsoft em uma atualização no Microsoft 365 Message Center na última terça-feira.
Vale destacar que imagens SVG enviadas como anexos clássicos continuam suportadas e poderão ser visualizadas normalmente na área de anexos.
Essa medida visa reduzir riscos potenciais à segurança, como ataques de cross-site scripting (XSS).
Nos últimos anos, golpistas têm explorado extensivamente arquivos SVG para distribuir malware e exibir formulários de phishing.
Empresas de cibersegurança também registraram um aumento expressivo nesse tipo de ataque, impulsionado por plataformas de Phishing-as-a-Service (PhaaS), como Tycoon2FA, Mamba2FA e Sneaky2FA.
Por exemplo, a Trustwave relatou em abril que ataques baseados em SVG, voltados para campanhas de phishing, cresceram impressionantes 1.800% entre o início de 2024 e abril de 2025.
A desativação das imagens SVG inline no Outlook faz parte de uma estratégia maior da Microsoft para eliminar ou desabilitar recursos no Office e no Windows que vêm sendo explorados em ataques contra seus clientes.
Em junho, a empresa também informou que bloquearia no Outlook Web e no novo Outlook para Windows arquivos com extensões .library-ms e .search-ms.
Essas extensões, usadas em ataques contra órgãos governamentais, vêm sendo exploradas em campanhas de phishing e malware desde pelo menos junho de 2022.
A lista completa dos tipos de anexos bloqueados está disponível na documentação oficial da Microsoft.
Desde 2018, a Microsoft tem ampliado o suporte da Antimalware Scan Interface (AMSI) para detectar ataques por macros VBA no Office 365, bloqueado macros VBA por padrão, introduzido proteção contra macros XLM, desabilitado macros Excel 4.0 (XLM) e bloqueado complementos XLL não confiáveis por padrão em ambientes Microsoft 365.
Mais recentemente, em abril de 2025, a Microsoft desativou todos os controles ActiveX nas versões para Windows dos apps do Microsoft 365 e Office 2024, seguindo o anúncio feito em maio de 2024 de que deixaria de oferecer suporte ao VBScript na segunda metade de 2024.
Essas mudanças refletem um esforço contínuo para proteger os usuários contra ameaças sempre mais sofisticadas no universo digital.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...