📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética lançaram luz sobre um ponto cego entre locatários que permite que invasores contornem as proteções do Microsoft Defender para Office 365 por meio do recurso de acesso de convidados no Teams.
“Quando os usuários operam como convidados em outro locatário, suas proteções são determinadas inteiramente por esse ambiente de hospedagem, não pela organização de origem”, disse em relatório o pesquisador de segurança da Ontinue, Rhys Downing.
“Esses avanços aumentam as oportunidades de colaboração, mas também ampliam a responsabilidade de garantir que esses ambientes externos sejam confiáveis e devidamente protegidos”.
O desenvolvimento ocorre no momento em que a Microsoft começa a lançar um novo recurso no Teams que permite aos usuários conversar com qualquer pessoa por e-mail, incluindo aqueles que não usam a plataforma de comunicação corporativa, a partir deste mês. Espera-se que a mudança esteja disponível globalmente em janeiro de 2026.
“O destinatário receberá um convite por e-mail para participar da sessão de bate-papo como convidado, permitindo comunicação e colaboração contínuas”, afirmou a Microsoft em seu anúncio. "Esta atualização simplifica o envolvimento externo e oferece suporte a cenários de trabalho flexíveis."
Caso o destinatário já utilize o Teams, ele será notificado diretamente pelo aplicativo na forma de solicitação de mensagem externa. O recurso é habilitado por padrão, mas as organizações podem desativá-lo usando TeamsMessagingPolicy definindo o parâmetro "UseB2BInvitesToAddExternalUsers" como "false".
Dito isto, esta configuração impede apenas que os usuários enviem convites para outros usuários. Isso não os impede de receber convites de inquilinos externos.
Nesta fase, vale ressaltar que o acesso de convidado é diferente do acesso externo, que permite aos usuários encontrar, ligar e conversar com pessoas que possuem Teams, mas estão fora de suas organizações.
A “lacuna arquitetônica fundamental” destacada por Ontinue decorre do fato de que as proteções do Microsoft Defender para Office 365 para equipes podem não se aplicar quando um usuário aceita um convite de convidado para um locatário externo. Em outras palavras, ao entrar no limite de segurança do outro locatário, o usuário fica sujeito às políticas de segurança do local onde a conversa está hospedada e não do local onde reside a conta do usuário.
Além disso, abre a porta para um cenário em que o usuário pode se tornar um convidado desprotegido em um ambiente malicioso ditado pelas políticas de segurança do invasor.
Num cenário de ataque hipotético, um agente de ameaça pode criar “zonas livres de proteção” desativando todas as salvaguardas nos seus inquilinos ou disponibilizando licenças que não possuem determinadas opções por padrão. Por exemplo, o invasor pode criar um locatário malicioso do Microsoft 365 usando uma licença de baixo custo, como Teams Essentials ou Business Basic, que não vem com o Microsoft Defender para Office 365 pronto para uso.
Depois que o locatário desprotegido for configurado, o invasor poderá realizar o reconhecimento da organização alvo para coletar mais informações e iniciar o contato por meio do Teams, inserindo o endereço de e-mail da vítima, fazendo com que o Teams envie um convite automático para ingressar no chat como convidado.
Talvez o aspecto mais preocupante da cadeia de ataque seja que o e-mail chega à caixa de correio da vítima, visto que a mensagem se origina da própria infraestrutura da Microsoft, contornando efetivamente as verificações de SPF, DKIM e DMARC. É improvável que as soluções de segurança de e-mail sinalizem o e-mail como malicioso, pois é legitimamente da Microsoft.
Caso a vítima aceite o convite, ela terá acesso de convidado no locatário do invasor, onde ocorrerá toda a comunicação subsequente. O agente da ameaça pode enviar links de phishing ou distribuir anexos com malware, aproveitando a falta de verificações de links seguros e anexos seguros.
“A organização da vítima permanece completamente inconsciente”, disse Downing. “Seus controles de segurança nunca foram acionados porque o ataque ocorreu fora de seus limites de segurança”.
Para se proteger contra essa linha de ataque, recomenda-se que as organizações restrinjam as configurações de colaboração B2B para permitir apenas convites de convidados de domínios confiáveis, implementem controles de acesso entre locatários, restrinjam a comunicação externa do Teams se não for necessária e treinem os usuários para ficarem atentos a convites não solicitados do Teams de fontes externas.
O Hacker News entrou em contato com a Microsoft para comentar e atualizaremos a história se recebermos resposta.
“Quando os usuários operam como convidados em outro locatário, suas proteções são determinadas inteiramente por esse ambiente de hospedagem, não pela organização de origem”, disse em relatório o pesquisador de segurança da Ontinue, Rhys Downing.
“Esses avanços aumentam as oportunidades de colaboração, mas também ampliam a responsabilidade de garantir que esses ambientes externos sejam confiáveis e devidamente protegidos”.
O desenvolvimento ocorre no momento em que a Microsoft começa a lançar um novo recurso no Teams que permite aos usuários conversar com qualquer pessoa por e-mail, incluindo aqueles que não usam a plataforma de comunicação corporativa, a partir deste mês. Espera-se que a mudança esteja disponível globalmente em janeiro de 2026.
“O destinatário receberá um convite por e-mail para participar da sessão de bate-papo como convidado, permitindo comunicação e colaboração contínuas”, afirmou a Microsoft em seu anúncio. "Esta atualização simplifica o envolvimento externo e oferece suporte a cenários de trabalho flexíveis."
Caso o destinatário já utilize o Teams, ele será notificado diretamente pelo aplicativo na forma de solicitação de mensagem externa. O recurso é habilitado por padrão, mas as organizações podem desativá-lo usando TeamsMessagingPolicy definindo o parâmetro "UseB2BInvitesToAddExternalUsers" como "false".
Dito isto, esta configuração impede apenas que os usuários enviem convites para outros usuários. Isso não os impede de receber convites de inquilinos externos.
Nesta fase, vale ressaltar que o acesso de convidado é diferente do acesso externo, que permite aos usuários encontrar, ligar e conversar com pessoas que possuem Teams, mas estão fora de suas organizações.
A “lacuna arquitetônica fundamental” destacada por Ontinue decorre do fato de que as proteções do Microsoft Defender para Office 365 para equipes podem não se aplicar quando um usuário aceita um convite de convidado para um locatário externo. Em outras palavras, ao entrar no limite de segurança do outro locatário, o usuário fica sujeito às políticas de segurança do local onde a conversa está hospedada e não do local onde reside a conta do usuário.
Além disso, abre a porta para um cenário em que o usuário pode se tornar um convidado desprotegido em um ambiente malicioso ditado pelas políticas de segurança do invasor.
Num cenário de ataque hipotético, um agente de ameaça pode criar “zonas livres de proteção” desativando todas as salvaguardas nos seus inquilinos ou disponibilizando licenças que não possuem determinadas opções por padrão. Por exemplo, o invasor pode criar um locatário malicioso do Microsoft 365 usando uma licença de baixo custo, como Teams Essentials ou Business Basic, que não vem com o Microsoft Defender para Office 365 pronto para uso.
Depois que o locatário desprotegido for configurado, o invasor poderá realizar o reconhecimento da organização alvo para coletar mais informações e iniciar o contato por meio do Teams, inserindo o endereço de e-mail da vítima, fazendo com que o Teams envie um convite automático para ingressar no chat como convidado.
Talvez o aspecto mais preocupante da cadeia de ataque seja que o e-mail chega à caixa de correio da vítima, visto que a mensagem se origina da própria infraestrutura da Microsoft, contornando efetivamente as verificações de SPF, DKIM e DMARC. É improvável que as soluções de segurança de e-mail sinalizem o e-mail como malicioso, pois é legitimamente da Microsoft.
Caso a vítima aceite o convite, ela terá acesso de convidado no locatário do invasor, onde ocorrerá toda a comunicação subsequente. O agente da ameaça pode enviar links de phishing ou distribuir anexos com malware, aproveitando a falta de verificações de links seguros e anexos seguros.
“A organização da vítima permanece completamente inconsciente”, disse Downing. “Seus controles de segurança nunca foram acionados porque o ataque ocorreu fora de seus limites de segurança”.
Para se proteger contra essa linha de ataque, recomenda-se que as organizações restrinjam as configurações de colaboração B2B para permitir apenas convites de convidados de domínios confiáveis, implementem controles de acesso entre locatários, restrinjam a comunicação externa do Teams se não for necessária e treinem os usuários para ficarem atentos a convites não solicitados do Teams de fontes externas.
O Hacker News entrou em contato com a Microsoft para comentar e atualizaremos a história se recebermos resposta.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #acesso #de #convidado #do #ms #teams #pode #remover #a #proteção #do #defender #quando #os #usuários #ingressam #em #locatários #externos
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário