Microsoft Teams

A Microsoft anunciou uma nova funcionalidade de segurança no Teams Premium chamada “Prevenir captura de tela”, que visa bloquear capturas de tela e gravações durante reuniões sensíveis. Essa atualização, que será implementada globalmente até o final de novembro de 2025, surge em resposta ao aumento das preocupações sobre vazamentos de dados não autorizados em ambientes de colaboração virtual, especialmente em setores como finanças, saúde e jurídico, onde informações confidenciais são frequentemente compartilhadas.

Pesquisadores da Check Point Research identificaram uma falha crítica no Microsoft Teams, conhecida como CVE-2024-38197, que permite a hackers falsificarem identidades e manipularem conversas. A vulnerabilidade foi reportada à Microsoft em março de 2024, mas a correção só foi implementada em outubro de 2025. Durante esse período, criminosos conseguiram alterar mensagens e notificações na plataforma, enganando usuários e comprometendo a segurança das comunicações corporativas. As táticas incluíam a edição de mensagens sem deixar rastros, o que dificultava a detecção de fraudes. Além disso, hackers podiam se passar por executivos e enviar notificações falsas, aumentando o risco de vazamento de informações sensíveis. Para mitigar esses riscos, as empresas devem adotar medidas de segurança, como a educação digital dos funcionários e a ativação da autenticação multifator. A falha representa um sério risco para a integridade das comunicações empresariais, especialmente em um ambiente onde o Teams é amplamente utilizado para interações corporativas.

A nova funcionalidade do Microsoft Teams, que permite que usuários iniciem chats com qualquer pessoa apenas utilizando um endereço de e-mail, levanta sérias preocupações de segurança. Essa atualização, que será lançada em novembro de 2025, visa facilitar a colaboração, mas especialistas em cibersegurança alertam que pode se tornar um vetor primário para campanhas de phishing e distribuição de malware. A capacidade de convidar participantes externos como convidados, sem processos de validação, amplia a superfície de ataque para agentes maliciosos. Os atacantes podem enviar convites falsos que parecem ser de parceiros de negócios legítimos, levando os usuários a clicarem em links maliciosos ou a revelarem credenciais sensíveis. Além disso, a possibilidade de exposição acidental de dados confidenciais aumenta, especialmente em ambientes de trabalho híbridos. Para mitigar esses riscos, recomenda-se que as organizações desativem a funcionalidade por meio do PowerShell e implementem autenticação multifatorial, auditorias regulares de políticas e treinamentos de conscientização sobre phishing. A Microsoft reconheceu as implicações de segurança e aconselhou as empresas a atualizarem suas documentações internas e treinarem suas equipes de suporte.

Pesquisadores de segurança digital da Expel identificaram uma nova campanha de ransomware que utiliza anúncios falsos do Microsoft Teams para enganar usuários. A quadrilha Rhysida, conhecida por seus ataques desde junho de 2025, cria páginas que imitam o site oficial de download do Teams. Quando a vítima clica no anúncio, é redirecionada para uma página falsa, onde, ao tentar baixar o software, seu dispositivo é infectado por dois malwares: OysterLoader e Latrodectus. Esses malwares permitem que os cibercriminosos acessem remotamente o aparelho da vítima, criptografando seus dados e abrindo portas para outros golpes digitais. A Rhysida já foi responsável por ataques significativos, como o que resultou no roubo de quase 600 GB de dados da Biblioteca Britânica em 2023. A campanha atual destaca a importância de cautela ao clicar em anúncios, mesmo em plataformas confiáveis como o Bing, e reforça a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Pesquisadores de cibersegurança revelaram quatro falhas de segurança no Microsoft Teams que podem ter exposto usuários a ataques de impersonificação e engenharia social. As vulnerabilidades permitiram que atacantes manipulassem conversas, se passassem por colegas e explorassem notificações. Após a divulgação responsável em março de 2024, a Microsoft abordou algumas dessas questões em agosto de 2024, com patches subsequentes lançados em setembro de 2024 e outubro de 2025. As falhas possibilitam a alteração do conteúdo das mensagens sem deixar o rótulo de ‘Editado’ e a modificação de notificações para alterar o remetente aparente, permitindo que atacantes enganem vítimas a abrirem mensagens maliciosas. Além disso, os atacantes podiam alterar nomes de exibição em conversas privadas e durante chamadas, forjando identidades de remetentes. A Check Point destacou que essas vulnerabilidades minam a confiança essencial nas ferramentas de colaboração, transformando o Teams em um vetor de engano. A Microsoft classificou uma das falhas, CVE-2024-38197, como um problema de spoofing de severidade média, afetando o Teams para iOS, o que pode permitir que atacantes enganem usuários a revelarem informações sensíveis. Com a crescente adoção do Teams, a segurança dessas plataformas se torna crítica para a proteção de dados corporativos.

Uma campanha de publicidade maliciosa sofisticada está atualmente entregando o malware OysterLoader por meio de anúncios falsos de ferramentas de software populares, como PuTTY, Microsoft Teams e Zoom. Desde junho de 2025, o grupo de ransomware Rhysida, que atua desde 2021, tem explorado um modelo de malvertising eficaz, comprando anúncios no Bing que redirecionam usuários desavisados para páginas de download fraudulentas. Essas páginas imitam sites oficiais e, ao serem acessadas, instalam o OysterLoader, que serve como uma ferramenta de acesso inicial para permitir que hackers mantenham acesso a dispositivos e redes comprometidos. Para evitar a detecção, o grupo utiliza técnicas de compressão e ofuscação do malware, além de certificados de assinatura de código para dar uma falsa legitimidade aos arquivos maliciosos. Apesar da revogação de mais de 200 certificados pela Microsoft, a campanha continua ativa, com o uso de mais de 40 certificados novos. Essa escalada nas operações do grupo demonstra recursos financeiros substanciais e um compromisso com suas atividades maliciosas, diversificando suas táticas com a implementação de outros malwares, como o Latrodectus.

A Microsoft está prestes a lançar uma nova funcionalidade no Teams, que permitirá a detecção automática da localização de trabalho dos usuários por meio das redes Wi-Fi de suas organizações. Essa atualização, prevista para dezembro de 2025, visa facilitar a colaboração em ambientes híbridos, eliminando a necessidade de atualizações manuais de status. Ao conectar-se à rede corporativa, o Teams ajustará automaticamente o status do usuário para refletir sua localização física, ajudando na coordenação de interações presenciais. A funcionalidade respeitará os horários de trabalho definidos no calendário do Outlook, garantindo que as atualizações de localização ocorram apenas durante o expediente e sejam limpas automaticamente ao final do dia, abordando preocupações de privacidade. Embora a funcionalidade seja desativada por padrão, os administradores de TI poderão ativá-la, e os usuários terão a opção de compartilhar sua localização com colegas. A Microsoft enfatiza que essa ferramenta não se trata de vigilância, mas sim de promover conexões reais e reduzir confusões sobre a disponibilidade para colaborações presenciais.

Uma vulnerabilidade crítica na forma como o Microsoft Teams armazena dados de autenticação expôs organizações a um novo tipo de ataque. Pesquisadores de segurança descobriram que atacantes podem roubar tokens de acesso das instalações do Teams, permitindo-lhes ler conversas privadas, e-mails e documentos confidenciais sem precisar das senhas dos usuários. O ataque é particularmente preocupante, pois uma vez que um invasor ganha acesso inicial ao computador de um funcionário, ele pode extrair tokens de autenticação já armazenados no disco. Esses tokens funcionam como passes permanentes para os serviços da Microsoft, permitindo que os atacantes se façam passar por usuários legítimos e acessem todo o espaço de trabalho digital. O método de ataque se aproveita da forma como o Teams criptografa seus dados de autenticação, onde a chave de criptografia é armazenada em texto simples. Uma vez que os atacantes obtêm um token de acesso roubado, eles podem interagir diretamente com a API do Microsoft Graph, acessando conversas do Teams, lendo e enviando e-mails e navegando em documentos compartilhados. Para mitigar esses riscos, as empresas devem implementar soluções de detecção e resposta em endpoints e educar os funcionários sobre segurança de dispositivos.

A Microsoft está investigando uma série de interrupções que afetaram o acesso ao Microsoft 365, com a terceira queda ocorrendo na última semana. O problema, que impactou usuários em diversas regiões, foi classificado como uma falha na central administrativa, uma categorização que indica problemas significativos na experiência do usuário. Durante os incidentes, aplicativos como Microsoft Teams e Exchange Online foram os mais afetados, com dificuldades de autenticação e acesso. Na quarta-feira (8), a interrupção impediu o uso do Teams e do Exchange Online, enquanto na quinta-feira (9), problemas na rede Azure Front Door resultaram em falhas de acesso em regiões como Europa, Ásia e Oriente Médio. Embora os serviços já tenham sido restaurados, a Microsoft ainda está analisando as causas e recomenda que os usuários que enfrentam problemas entrem em contato com o suporte. Este não é o primeiro incidente, já que falhas semelhantes ocorreram em setembro, afetando o acesso a e-mails e calendários devido a bugs no código. A situação levanta preocupações sobre a confiabilidade do serviço e a necessidade de soluções permanentes para evitar novas interrupções.

As ameaças cibernéticas estão se tornando cada vez mais sofisticadas, com atacantes utilizando engenharia social, manipulação impulsionada por IA e exploração de nuvem para comprometer sistemas antes considerados seguros. O relatório destaca como o Microsoft Teams tem sido utilizado por grupos de ameaças para extorsão e roubo financeiro, enfatizando a importância de fortalecer a proteção de identidade e a segurança dos endpoints. Além disso, uma nova campanha de malware utiliza arquivos de atalho (.LNK) maliciosos para implantar um dropper de PowerShell, demonstrando a eficácia de técnicas de evasão. O artigo também menciona uma campanha de desinformação apoiada por Israel, visando desestabilizar o Irã, e a investigação da França sobre a coleta de dados de voz da Siri pela Apple. Outro ponto crítico é o roubo de criptomoedas, com hackers norte-coreanos responsáveis por cerca de $2 bilhões em furtos em 2025, destacando a crescente dependência do regime de atividades cibernéticas para financiamento. O artigo conclui com a resistência de empresas de tecnologia à proposta de controle de chat da UE, que exigiria a varredura de comunicações criptografadas, levantando preocupações sobre privacidade e vigilância em massa.

Uma nova campanha de cibersegurança identificada pela Blackpoint SOC revela que hackers estão explorando o Microsoft Teams para disseminar malware. Utilizando técnicas de envenenamento de SEO e anúncios patrocinados, os criminosos atraem usuários que buscam baixar o aplicativo oficial. Ao clicar em um link malicioso, os usuários são direcionados para um site que imita a página de download do Teams, onde um instalador falso é oferecido. Este instalador, chamado MSTeamsSetup.exe, contém uma backdoor conhecida como Oyster, que permite acesso remoto ao computador da vítima. O malware, que foi detectado pela primeira vez em 2023, é capaz de executar comandos, transferir arquivos e baixar outros vírus. A campanha é particularmente direcionada a usuários que buscam o download do Teams, e o arquivo malicioso é assinado com certificados para parecer legítimo. A recomendação para os usuários é baixar softwares apenas de domínios verificados e evitar clicar em anúncios nos buscadores. Essa situação destaca a necessidade de vigilância constante em relação a ameaças de malvertising e envenenamento de SEO, especialmente em ambientes corporativos.

No dia 25 de setembro de 2025, a equipe de Detecção e Resposta Gerenciada da Conscia identificou uma campanha de malvertising sofisticada que visava comprometer sistemas corporativos através de um instalador falso do Microsoft Teams. A cadeia de infecção foi descoberta quando as regras de Redução da Superfície de Ataque (ASR) do Microsoft Defender bloquearam tráfego suspeito, levando a uma investigação forense detalhada. A campanha utilizou resultados de busca envenenados para redirecionar usuários a um domínio malicioso, onde o malware estava hospedado. O instalador, MSTeamsSetup.exe, parecia legítimo devido a uma assinatura digital válida, permitindo que o malware evitasse detecções baseadas em assinatura. Após a execução, o malware tentou estabelecer uma conexão de comando e controle, mas foi interceptado pelas regras do Defender. Para se proteger contra essa ameaça, as organizações devem implementar estratégias de detecção focadas em anomalias de certificados e comportamentos de rede, além de monitorar conexões de saída para domínios recém-registrados. Este incidente destaca a convergência de técnicas modernas de ataque, como envenenamento de SEO e abuso de certificados, exigindo uma resposta proativa das equipes de segurança.

A Microsoft anunciou que está testando uma nova funcionalidade no Microsoft Teams que verifica links enviados em mensagens, alertando tanto quem envia quanto quem recebe. Essa atualização, chamada de ‘Proteção contra URLs Maliciosas para Chat e Canais do Teams’, visa detectar spam, phishing e malware. A tecnologia escaneia as URLs e as compara com bases de dados de inteligência contra ameaças da Microsoft, funcionando para mensagens internas e externas. Os usuários que compartilham links suspeitos receberão um alerta, podendo editar ou deletar a mensagem, enquanto os destinatários verão uma notificação clara sobre o conteúdo suspeito antes de clicar no link. A funcionalidade está disponível em versão de teste nos aplicativos para desktop, Android, iOS e na versão web, e será lançada oficialmente em novembro. Para ativar a checagem de URLs, os administradores devem acessar o Centro de Administração do Teams e selecionar a opção correspondente. Essa iniciativa é um passo importante na luta contra ameaças cibernéticas, especialmente em um ambiente corporativo onde a comunicação digital é essencial.

Pesquisadores em cibersegurança alertaram sobre um ataque cibernético que utiliza a ferramenta de monitoramento e forense digital de código aberto chamada Velociraptor. Os atacantes empregaram essa ferramenta para baixar e executar o Visual Studio Code, possivelmente com a intenção de criar um túnel para um servidor de comando e controle (C2) controlado por eles. O uso do Velociraptor representa uma evolução tática, onde programas de resposta a incidentes são utilizados para obter acesso e reduzir a necessidade de implantar malware próprio. A análise revelou que os atacantes usaram o utilitário msiexec do Windows para baixar um instalador MSI de um domínio da Cloudflare, que serve como base para outras ferramentas, incluindo um utilitário de administração remota. Além disso, a Sophos recomenda que as organizações monitorem o uso não autorizado do Velociraptor, pois isso pode ser um precursor de ataques de ransomware. O artigo também menciona campanhas maliciosas que exploram o Microsoft Teams para acesso inicial, refletindo um padrão crescente de uso de plataformas confiáveis para a implantação de malware. Os ataques se disfarçam como assistência técnica, dificultando a detecção. A situação é preocupante, pois os atacantes estão cada vez mais sofisticados em suas abordagens, utilizando técnicas que burlam as defesas tradicionais.

Um novo vetor de ataque cibernético tem se destacado, onde hackers estão se passando por pessoal de suporte técnico no Microsoft Teams para roubar o controle de tela dos usuários. Este tipo de phishing, que antes era restrito a e-mails, agora se aproveita das configurações padrão de comunicação externa do Teams, permitindo que os atacantes se façam passar por funcionários de TI. Com a crescente adoção do trabalho remoto, muitas organizações mantêm as mensagens e chamadas externas habilitadas por padrão, o que facilita a intrusão. Os atacantes podem iniciar chats ou chamadas de voz, muitas vezes contornando avisos de segurança que aparecem brevemente antes de desaparecerem. Além disso, eles têm utilizado técnicas para compartilhar arquivos maliciosos disfarçados como documentos legítimos, complicando a detecção. Para mitigar esses riscos, as equipes de operações de segurança (SOCs) devem monitorar domínios externos suspeitos e padrões de nomes que imitam o suporte técnico, além de implementar estratégias de detecção e resposta rápidas. A conscientização dos usuários sobre as táticas de impersonação é crucial para fortalecer a segurança nas comunicações corporativas.

Na manhã de quinta-feira, 28 de agosto de 2025, usuários do Microsoft Teams em todo o mundo enfrentaram uma interrupção significativa no serviço, com documentos do Microsoft Office incorporados não carregando na plataforma de colaboração. O problema começou a ser relatado às 06:00 UTC, afetando tanto usuários corporativos quanto individuais que não conseguiam abrir arquivos do Word, Excel e PowerPoint diretamente em canais e chats do Teams. A Microsoft reconheceu oficialmente o problema sob o ID de incidente TM1143347, que está sendo investigado. Os usuários afetados se deparam com um carregamento contínuo, mensagens de erro ou telas em branco ao tentar acessar os documentos. A análise preliminar sugere que uma má configuração na pipeline de processamento de documentos dentro do Azure Functions está causando falhas nas chamadas da API ‘GetEmbeddedFile’ para o SharePoint Online e OneDrive for Business. Enquanto a equipe de engenharia trabalha em uma solução permanente, recomenda-se que os administradores de TI utilizem alternativas temporárias, como abrir os arquivos no navegador ou no aplicativo de desktop, para mitigar a perda de produtividade até que a situação seja normalizada.