Vulnerabilidade no Microsoft Teams permitiria fraude com identidade de CEOs, revela pesquisa

Receber uma mensagem urgente do diretor-presidente por meio do canal oficial de comunicação interna é, para muitos profissionais, sinal de prioridade máxima. Até pouco tempo atrás, porém, essa confiança podia ser explorada de forma silenciosa dentro do Microsoft Teams. Uma série de vulnerabilidades identificadas pela Check Point Research possibilitava que invasores assumissem a identidade de qualquer colaborador, inclusive a de executivos de alto escalão, tornando a plataforma terreno fértil para golpes financeiros e vazamento de informações sensíveis.

Investigação e descoberta

Especialistas da Check Point analisaram o comportamento do Teams e encontraram múltiplos pontos de falha no processamento de dados que identificam remetentes de mensagens e originadores de chamadas. A divulgação ocorreu durante a semana em que a pesquisa foi concluída, depois de a equipe de segurança ter notificado a Microsoft e receber a confirmação de que os problemas haviam sido corrigidos.

Segundo os pesquisadores, mais de 320 milhões de usuários ativos mensais poderiam ter sido afetados caso as vulnerabilidades fossem exploradas em larga escala. A magnitude da base de usuários do Teams torna o aplicativo alvo prioritário para fraudadores que buscam técnicas de comprometimento de comunicação empresarial, conhecidas na sigla em inglês como Business Email Compromise (BEC).

O que estava em risco

No centro do problema estava a forma como o aplicativo manipula requisições JSON. Cada ação – seja texto, ligação ou edição – gera um pacote contendo elementos como conteúdo, identificador único e, fundamentalmente, o display name, isto é, o nome exibido ao destinatário. Alguns desses campos, descobriram os especialistas, podiam ser alterados localmente antes de serem enviados ao servidor, sem que ocorresse verificação de legitimidade.

Esse comportamento abriu portas para quatro categorias principais de ataque:

1. Edição de mensagens sem rastros – O Teams marca conteúdos modificados com a etiqueta “Editado”. Ao manipular o pacote JSON, era possível suprimir essa indicação e reescrever diálogos antigos de maneira imperceptível, alterando o histórico de conversas.

2. Falsificação de notificações – O parâmetro imdisplayname, responsável pelo nome exibido nos alertas, aceitava qualquer valor. Bastava um ajuste manual para que a notificação mostrasse a identidade do diretor financeiro, do departamento de RH ou de qualquer outra pessoa da organização.

3. Manipulação de chats privados – Ao modificar o tópico da conversa, função originalmente restrita a grupos, atacantes conseguiam renomear o chat individual. O resultado era a exibição de um título enganoso, levando cada participante a crer que falava com alguém diferente.

4. Falsificação em chamadas de áudio e vídeo – Durante ligações, o nome exibido ao destinatário também podia ser alterado. Funcionários recebiam chamadas supostamente vindas de chefes ou colegas de confiança, mas a voz do outro lado pertencia a um impostor.

Como os golpes poderiam acontecer

A combinação dessas falhas é particularmente perigosa em ambientes corporativos porque se aproveita de um elemento psicológico central: a confiança intrínseca em sistemas internos. Ao contrário dos e-mails externos, frequentemente analisados por filtros de segurança, comunicações dentro do Teams costumam ser aceitas como legítimas de imediato.

O estudo descreve dois perfis de agente de ameaça que poderiam explorar o problema. O primeiro envolve convidados externos, cenário comum em organizações que colaboram com fornecedores ou parceiros. Uma vez aceito como convidado, o invasor ganharia alcance limitado na plataforma, suficiente para monitorar padrões de comunicação e identificar executivos estratégicos. Com os ajustes JSON, passaria a enviar instruções falsas a departamentos sensíveis, como o financeiro.

O segundo perfil é o do funcionário mal-intencionado. Já inserido no ambiente, ele não precisaria contornar controles de acesso e poderia, com conhecimento técnico mínimo, alterar mensagens para influenciar decisões, coletar dados de projetos ou redirecionar valores monetários.

Um exemplo prático citado pela equipe de pesquisa ilustra a gravidade. O atacante, fingindo ser o diretor financeiro, encaminha pelo Teams uma solicitação de transferência bancária “urgente”, acompanhada de dados de conta. A notificação no celular da vítima exibe exatamente o nome e o cargo do executivo. A mensagem parte do canal oficial, eliminando suspeitas iniciais. Caso o colaborador execute a ordem sem verificação independente, o dinheiro vai diretamente para contas controladas pelos criminosos.

Impacto potencial em ataques BEC

Os golpes de Business Email Compromise já causam prejuízos de bilhões de dólares anualmente. Transferir essa tática do e-mail para o Teams amplia a efetividade do golpe, pois desloca o vetor para um ambiente com menor monitoramento de ferramentas antifraude. Segundo a Check Point, grupos classificados como Advanced Persistent Threats (APT) demonstram interesse crescente em plataformas colaborativas, onde podem:

• Inserir links maliciosos disfarçados em mensagens internas;
• Coletar credenciais se passando por equipes de TI;
• Espionar reuniões ou chamadas estratégicas por meio da falsificação de identidades.

Resposta da Microsoft

Após o recebimento do relatório técnico, a Microsoft aplicou correções nos servidores responsáveis pelo processamento de mensagens do Teams. A empresa informou que a implementação foi concluída sem exigência de intervenção do usuário final. Dessa forma, clientes não precisam instalar patches manuais; a mitigação ocorre em segundo plano na infraestrutura de nuvem.

Recomendações para empresas

Embora o reparo resolva o conjunto específico de vulnerabilidades, o caso ressalta a necessidade de camadas complementares de defesa. Com base no que foi exposto pelos especialistas, organizações podem adotar as seguintes práticas:

Modelo Zero Trust – Assumir que nenhuma comunicação é confiável por padrão, mesmo dentro da rede interna. Isso envolve autenticação contínua, verificação de dispositivo e análise de comportamento.

Prevenção avançada contra ameaças – Soluções capazes de inspecionar arquivos e links trocados no Teams, bloqueando tentativas de execução de malware e bloqueios de phishing antes que cheguem ao usuário.

Data Loss Prevention (DLP) – Ferramentas de prevenção à perda de dados monitoram o tráfego em busca de informações sensíveis, impedindo a exfiltração mesmo quando um atacante obtém acesso.

Dupla verificação de solicitações críticas – Qualquer pedido que envolva finanças ou dados estratégicos deve receber confirmação por um canal secundário, como telefonema ou sistema de aprovação formal.

Orientações para usuários finais

A segurança de uma plataforma também depende do comportamento de quem a utiliza. Em rotinas de trabalho que envolvam o Teams, adotar condutas prudentes ajuda a prevenir prejuízos:

Desconfie de urgências atípicas – Pressão de tempo é tática comum em fraudes. Antes de atender a uma demanda inusual, faça pausa para validar a legitimidade da solicitação.

Verificação fora de banda – Ao receber pedido sensível, entre em contato com o remetente por telefone ou e-mail previamente cadastrado. Nunca use dados de contato apresentados na própria mensagem suspeita.

Atenção a detalhes comportamentais – Mudanças no estilo de escrita, erros ortográficos incomuns ou instruções divergentes do procedimento padrão podem indicar tentativa de golpe.

Pensamento crítico contínuo – A principal lição do incidente é que interfaces internas não devem ser sinônimo de confiança absoluta. Questionar o que parece óbvio passou a ser parte da rotina de segurança.

Lições do incidente

O episódio mostra que, mesmo em aplicações mantidas por provedores globais e amplamente auditadas, falhas de validação podem permanecer invisíveis por longos períodos. A escala de 320 milhões de usuários indica que potenciais danos não se restringem a empresas de grande porte; qualquer organização que utilize o Teams estava suscetível.

A correção rápida por parte da Microsoft limitou o tempo de exposição, mas a dependência crescente de ferramentas de colaboração reforça a necessidade de monitoramento constante, políticas de segurança robustas e capacitação de colaboradores para reconhecer sinais sutis de fraude.