Microsoft 365

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

Uma nova vulnerabilidade no Microsoft 365 Copilot foi descoberta, permitindo que atacantes enganem o assistente de IA para acessar e vazar dados sensíveis de e-mails corporativos. Pesquisadores identificaram que, ao ocultar instruções secretas dentro de um documento do Office, os atacantes podem forçar o Copilot a buscar e codificar e-mails recentes, empacotando-os em um diagrama malicioso gerado pelo Mermaid. Quando um usuário clica no diagrama, os e-mails codificados são enviados para um servidor controlado pelo atacante.

Uma nova investigação da equipe de pesquisa de ameaças da Sekoia.io trouxe à tona a função do campo UserAuthenticationMethod nos logs de auditoria do Microsoft 365. Este campo, que antes era uma incógnita, é na verdade um bitfield que representa diferentes métodos de autenticação, permitindo uma análise mais clara dos eventos de login na plataforma. A pesquisa revelou que valores numéricos como 16, 272 ou 33554432 correspondem a métodos específicos de autenticação, como ‘Senha na Nuvem’ e ‘Login sem Senha’. Essa descoberta é crucial para analistas de segurança, pois permite monitorar a adoção de métodos de autenticação mais seguros e identificar fraquezas nas práticas de login. A equipe da Sekoia conseguiu mapear esses métodos ao correlacionar logs do Microsoft 365 com logs de login do Microsoft Entra ID, decifrando a lógica binária por trás dos valores. A decodificação do bitfield não só fecha uma lacuna significativa na visibilidade para os respondentes a incidentes, mas também destaca a evolução contínua das tecnologias de autenticação da Microsoft, com bits ainda não mapeados indicando futuras inovações. Essa pesquisa é um chamado para que os defensores contribuam com novas descobertas, fortalecendo o entendimento coletivo sobre a telemetria de autenticação do Microsoft 365.

Pesquisadores da Sublime Security alertaram sobre um novo golpe de phishing que utiliza falsas ofertas de emprego no Google para roubar credenciais de usuários do Microsoft 365 e Google Workspace. Os e-mails fraudulentos, que imitam comunicações do Google Careers, começam com mensagens que perguntam se a vítima está disponível para uma conversa sobre uma vaga. Os golpistas têm como alvo especialmente contas de e-mail corporativas, filtrando alvos que não pertencem ao ambiente profissional.

A Microsoft está investigando uma série de interrupções que afetaram o acesso ao Microsoft 365, com a terceira queda ocorrendo na última semana. O problema, que impactou usuários em diversas regiões, foi classificado como uma falha na central administrativa, uma categorização que indica problemas significativos na experiência do usuário. Durante os incidentes, aplicativos como Microsoft Teams e Exchange Online foram os mais afetados, com dificuldades de autenticação e acesso. Na quarta-feira (8), a interrupção impediu o uso do Teams e do Exchange Online, enquanto na quinta-feira (9), problemas na rede Azure Front Door resultaram em falhas de acesso em regiões como Europa, Ásia e Oriente Médio. Embora os serviços já tenham sido restaurados, a Microsoft ainda está analisando as causas e recomenda que os usuários que enfrentam problemas entrem em contato com o suporte. Este não é o primeiro incidente, já que falhas semelhantes ocorreram em setembro, afetando o acesso a e-mails e calendários devido a bugs no código. A situação levanta preocupações sobre a confiabilidade do serviço e a necessidade de soluções permanentes para evitar novas interrupções.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.

A Unidade de Crimes Digitais da Microsoft, em colaboração com a Cloudflare, desmantelou uma rede de phishing conhecida como RaccoonO365, que operava um kit de ferramentas de phishing como serviço (Phaas). Desde julho de 2024, essa rede foi responsável pelo roubo de mais de 5.000 credenciais do Microsoft 365 em 94 países. A operação, que envolveu a apreensão de 338 domínios, foi realizada com uma ordem judicial do Distrito Sul de Nova York e visou interromper a infraestrutura técnica utilizada pelos criminosos. O RaccoonO365 é comercializado sob um modelo de assinatura, permitindo que até mesmo indivíduos com pouca experiência técnica realizem ataques em larga escala. Os ataques frequentemente imitam marcas confiáveis, como Microsoft e Adobe, e utilizam técnicas avançadas para contornar proteções de autenticação multifatorial. A Microsoft identificou Joshua Ogundipe, um indivíduo baseado na Nigéria, como o principal responsável pela operação, que arrecadou mais de $100.000 em criptomoedas. A Cloudflare, por sua vez, destacou que a desativação dos domínios visa aumentar os custos operacionais dos criminosos e enviar um aviso a outros atores maliciosos. Após a ação, os operadores do RaccoonO365 anunciaram mudanças em sua infraestrutura, indicando que a luta contra o cibercrime continua em evolução.

Recentemente, pesquisadores da ReliaQuest identificaram uma nova técnica de phishing que utiliza ferramentas de cliente HTTP, como Axios, em conjunto com a funcionalidade Direct Send da Microsoft. Essa combinação tem permitido que atacantes formem um ‘pipeline de ataque altamente eficiente’, resultando em um aumento de 241% na atividade do agente de usuário Axios entre junho e agosto de 2025. As campanhas de phishing têm se aproveitado do Direct Send para simular usuários confiáveis e garantir que suas mensagens evitem os gateways de segurança, alcançando uma taxa de sucesso de 70% em algumas operações. Os ataques visam principalmente executivos e gerentes de setores como finanças e saúde, mas rapidamente se expandiram para todos os usuários. Os criminosos utilizam Axios para interceptar e modificar requisições HTTP, capturando tokens de sessão e códigos de autenticação multifatorial em tempo real. Além disso, os e-mails fraudulentos frequentemente contêm documentos PDF com QR codes maliciosos que redirecionam para páginas de login falsas, facilitando o roubo de credenciais. Para mitigar esses riscos, as organizações devem considerar desabilitar o Direct Send, implementar políticas de anti-spoofing e treinar funcionários para reconhecer e-mails de phishing.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

Pesquisadores da Amazon identificaram e neutralizaram uma tentativa de invasão ao Microsoft 365, realizada pelo grupo de hackers conhecido como Midnight Blizzard, ou APT29, que é apoiado pelo governo russo. Utilizando uma técnica chamada Oásis, os cibercriminosos replicaram sites que os alvos costumam acessar, facilitando o roubo de senhas e a autorização de dispositivos maliciosos. A investigação revelou que o grupo comprometeu diversos sites legítimos e ocultou códigos maliciosos em codificação base64. Os hackers redirecionaram cerca de 10% dos visitantes de domínios afetados para páginas que imitavam a verificação do Cloudflare, levando os usuários a um fluxo de autenticação falso da Microsoft. Após a descoberta, a Amazon isolou as instâncias EC2 utilizadas pelos criminosos e colaborou com a Cloudflare e a Microsoft para interromper as atividades. A empresa recomenda que os usuários verifiquem autorizações de dispositivos e ativem a autenticação de dois fatores para aumentar a segurança. Embora a campanha não tenha comprometido a infraestrutura da Amazon, a situação destaca a necessidade de vigilância constante contra ataques cibernéticos.

No dia 29 de agosto de 2025, a Amazon anunciou a interrupção de uma campanha de phishing conhecida como “watering hole”, atribuída ao grupo de hackers APT29, vinculado à inteligência russa. Essa campanha utilizou sites comprometidos para redirecionar visitantes a uma infraestrutura maliciosa, enganando usuários a autorizarem dispositivos controlados pelos atacantes através do fluxo de autenticação de código de dispositivo da Microsoft. APT29, também conhecido como Cozy Bear, tem sido ativo em ataques direcionados a entidades ucranianas e na coleta de dados sensíveis. Recentemente, o grupo adotou métodos de phishing, como o phishing de código de dispositivo, para obter acesso não autorizado a contas do Microsoft 365. A campanha da Amazon destacou a evolução das táticas do APT29, que agora inclui técnicas de evasão, como a codificação Base64 para ocultar código malicioso. Apesar das tentativas do grupo de mudar para novas infraestruturas, a equipe de inteligência da Amazon continuou a rastrear e interromper suas operações, evidenciando a persistência da ameaça. O ataque redirecionou cerca de 10% dos visitantes de sites legítimos para domínios controlados pelos atacantes, que imitavam páginas de verificação da Cloudflare, visando coletar códigos de dispositivo legítimos dos usuários.

Um novo golpe de phishing foi identificado, utilizando links legítimos do site office.com redirecionados por meio de publicidade falsa para roubar credenciais de usuários do Microsoft 365. A técnica, descoberta pela Push Security, consiste em evitar a detecção de endereços maliciosos e contornar a verificação multifator (MFA) da Microsoft. O ataque começa quando um usuário, ao buscar por ‘Office 265’ (um erro de digitação), clica em um link patrocinado que parece legítimo. Inicialmente, o usuário é redirecionado para o site oficial da Microsoft, o que dificulta a identificação do golpe. Os hackers criaram um domínio próprio que redireciona para uma página de phishing, que, embora não contenha elementos maliciosos visíveis, é projetada para enganar sistemas de detecção. A Push Security alerta que os alvos não são específicos, sugerindo que os hackers estão testando a eficácia dessa nova abordagem. Para se proteger, recomenda-se que empresas verifiquem os parâmetros de redirecionamento de anúncios que levam ao office.com e que usuários evitem clicar em links publicitários, optando por resultados orgânicos.