Uma falha de segurança descoberta em vários aplicativos Android do Microsoft 365, chamada de FlagLeft, permitiu que aplicativos não confiáveis no mesmo dispositivo solicitassem tokens de conta de usuários autenticados. Isso significa que um aplicativo malicioso poderia acessar e-mails, arquivos, calendários e enviar mensagens em nome do usuário sem necessidade de senha ou autorização. A falha foi identificada por pesquisadores da Enclave e afetou aplicativos amplamente utilizados, como Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop e OneNote. A vulnerabilidade foi corrigida pela Microsoft, que lançou atualizações para os aplicativos, mas os tokens comprometidos podem permanecer válidos mesmo após a atualização. Portanto, é recomendável que os usuários revoguem os tokens de atualização e façam um novo login. A Microsoft emitiu quatro CVEs relacionados a essa falha, com classificações de severidade variando de 4.4 a 7.7, indicando um risco significativo para os usuários que não atualizarem seus aplicativos. A atualização é essencial para mitigar o risco de exploração dessa vulnerabilidade.
Fonte: https://thehackernews.com/2026/06/microsoft-365-android-apps-let-any-app.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
03/06/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade em aplicativos Android do Microsoft 365 expõe tokens de conta
RESUMO EXECUTIVO
A falha FlagLeft nos aplicativos do Microsoft 365 para Android expõe tokens de conta, permitindo que aplicativos maliciosos acessem dados sensíveis. Com a emissão de quatro CVEs e a necessidade de ações corretivas imediatas, é crucial que as empresas atualizem seus aplicativos e considerem a revogação de tokens para garantir a segurança dos dados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e danos à reputação.
Operacional
Acesso não autorizado a dados pessoais e corporativos dos usuários.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor educacional']
📊 INDICADORES CHAVE
Bilhões de downloads dos aplicativos afetados.
Indicador
Classificações CVSS variando de 4.4 a 7.7.
Contexto BR
Quatro CVEs emitidos relacionados à falha.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se os aplicativos Microsoft 365 estão atualizados para a versão 16.0.19822.20190 ou superior.
2
Revogar tokens de atualização e forçar um novo login nos aplicativos afetados.
3
Monitorar continuamente a atividade de aplicativos não confiáveis no dispositivo.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis e a conformidade com a LGPD, especialmente em um cenário onde aplicativos maliciosos podem explorar vulnerabilidades.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação ao acesso não autorizado a dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
