Vulnerabilidade no Teams permite que usuários convidados bypasssem o Microsoft Defender

Pesquisadores revelaram uma falha estrutural no Microsoft Teams que permite a invasores contornar as proteções do Microsoft Defender for Office 365 por meio do recurso de acesso de convidados. A vulnerabilidade cria um ponto cego entre diferentes locatários (tenants) e pode deixar usuários expostos quando entram como convidados em ambientes externos.

Segundo Rhys Downing, pesquisador da Ontinue, quando um usuário atua como convidado em outro tenant, ele passa a depender exclusivamente das proteções do ambiente que o recebeu e não mais da sua organização original. Esse comportamento, embora facilite a colaboração entre empresas, amplia o risco de exposição caso o tenant anfitrião não seja devidamente seguro ou seja controlado por um hacker.

A preocupação se intensifica com a chegada de um novo recurso que permitirá que usuários do Teams conversem com qualquer pessoa via e-mail, mesmo quem não utiliza a plataforma. A funcionalidade já está sendo ativada gradualmente e deve estar disponível mundialmente até janeiro de 2026. O convidado recebe um e-mail oficial da Microsoft convidando-o para a conversa e esse detalhe é um dos principais pontos de risco.

Isso ocorre porque, quando um hacker envia o convite a partir de seu próprio tenant malicioso, o e-mail é entregue pela infraestrutura legítima da Microsoft, passando ileso por verificações como SPF, DKIM e DMARC. Assim, soluções de segurança de e-mail dificilmente identificarão o conteúdo como suspeito. Caso a vítima aceite o convite, ela ingressa no tenant do invasor sem qualquer proteção de Safe Links ou Safe Attachments, abrindo caminho para phishing e distribuição de arquivos maliciosos.

Os pesquisadores apontam que o invasor pode facilmente criar “zonas sem proteção” ao habilitar um tenant Microsoft 365 de baixo custo como Teams Essentials ou Business Basic  que não incluem as proteções do Defender. A partir daí, o hacker realiza reconhecimento do alvo, inicia o contato pelo Teams e depende apenas de a vítima aceitar o convite.

Outro agravante é que as organizações podem bloquear o envio de convites externos, mas não podem impedir seus funcionários de receberem convites vindos de outros tenants. Isso significa que o risco continua existindo mesmo com algumas políticas de restrição habilitadas.

Downing afirma que o ataque acontece totalmente fora do alcance da empresa-alvo: “A organização da vítima permanece completamente alheia. Seus controles de segurança não são acionados porque todo o ataque ocorre fora do seu perímetro”.

Para mitigar o risco, especialistas recomendam restringir as configurações de colaboração B2B apenas a domínios confiáveis, aplicar políticas de acesso entre tenants, bloquear comunicações externas quando não forem necessárias e treinar usuários para reconhecer convites inesperados do Teams.

Via - THN