A Microsoft está reforçando a segurança do Microsoft 365 com uma mudança significativa que afetará diretamente usuários e administradores de TI: o bloqueio, por padrão, do protocolo FPRPC (FrontPage Remote Procedure Call) nos aplicativos da suíte para Windows. Essa ação marca mais um passo na desativação de tecnologias obsoletas e fortalece a proteção no Microsoft 365 contra ataques cibernéticos cada vez mais sofisticados.
Neste artigo, você entenderá o que é o FPRPC, os riscos de segurança que ele representa, como a decisão da Microsoft impacta os usuários e organizações, e o que administradores podem fazer para se preparar e gerenciar essa nova política de segurança do Microsoft 365.
Com um olhar técnico, porém acessível, este conteúdo detalha uma das decisões mais importantes da Microsoft no contexto da modernização da segurança corporativa, em linha com medidas anteriores como o fim do suporte ao ActiveX e o bloqueio de autenticação básica.
O que é o FPRPC e por que ele é um risco?
A história esquecida do FrontPage Remote Procedure Call
O FPRPC surgiu como parte do antigo Microsoft FrontPage, uma ferramenta da era inicial da internet projetada para facilitar a edição de sites de forma remota. Esse protocolo permitia que editores alterassem páginas hospedadas em servidores web diretamente de seus computadores, utilizando uma espécie de “ponte” entre cliente e servidor via HTTP.
Apesar de ter sido útil nos anos 1990 e início dos anos 2000, o FPRPC tornou-se uma tecnologia obsoleta. Ainda assim, traços de sua implementação sobreviveram em partes do ecossistema Microsoft, como em certas chamadas feitas por aplicativos do Office durante a abertura de arquivos hospedados remotamente.
As vulnerabilidades de um protocolo legado
A principal preocupação com o FPRPC está em seu modelo de autenticação antiquado. O protocolo não suporta autenticação moderna como MFA (autenticação multifator), tornando-se um alvo fácil para ataques de força bruta ou de retransmissão de credenciais (NTLM Relay) — técnica que intercepta e reutiliza informações de login para obter acesso não autorizado.
Além disso, o FPRPC pode expor dados sensíveis durante a comunicação entre cliente e servidor, uma falha crítica em tempos de ataques cada vez mais sofisticados que exploram brechas em protocolos antigos. Por essas razões, a sua manutenção representa um risco contínuo à segurança no Microsoft 365.
Detalhes da mudança no Microsoft 365
Quando a mudança entra em vigor?
O bloqueio do FPRPC começará a ser implementado com a versão 2508 dos aplicativos do Microsoft 365 para Windows, cuja disponibilidade geral está prevista para o final de agosto de 2025. A Microsoft pretende concluir a implementação até o fim de setembro, aplicando a mudança a todos os locatários.
Essa transição faz parte do ciclo regular de atualizações da suíte, reforçando a estratégia da empresa de desativar tecnologias herdadas que já não atendem aos padrões atuais de segurança da informação.
Quais aplicativos e usuários são afetados?
A medida afeta diretamente os aplicativos clássicos do Microsoft 365 para Windows, como Word, Excel e PowerPoint. Já o Microsoft Teams, independentemente da plataforma utilizada, não será impactado, pois não depende desse protocolo para suas operações.
Importante destacar que a mudança não se aplica a aplicativos de outras plataformas, como macOS, Android ou iOS, tornando-se uma mudança exclusiva do ecossistema Windows.
O que acontece na prática ao abrir um arquivo?
Na prática, ao abrir um arquivo que antes utilizava o FPRPC, o sistema irá automaticamente recorrer a protocolos mais seguros e modernos, como o MS-FSSHTTP (File Synchronization via SOAP over HTTP). O objetivo é garantir transparência ao usuário final, sem gerar erros visuais ou interrupções na experiência.
No entanto, os vetores de ataque que dependiam do FPRPC serão bloqueados, o que aumenta significativamente a segurança no Microsoft 365 para ambientes corporativos e governamentais.
Como administradores podem gerenciar essa nova política
Controle do usuário via Central de Confiabilidade
Durante um período inicial, usuários finais poderão reativar temporariamente o uso do FPRPC por meio da Central de Confiabilidade (Trust Center) dos aplicativos do Office. No entanto, essa opção pode ser desabilitada pelos administradores, o que é altamente recomendado para evitar brechas de segurança.
A Microsoft reconhece que algumas organizações ainda podem depender do protocolo em cenários muito específicos, razão pela qual disponibiliza essa opção de fallback.
Gerenciamento centralizado para administradores
Para organizações que desejam gerenciar de forma centralizada o bloqueio do FPRPC, é possível aplicar configurações por meio do Cloud Policy Service (CPS) ou da Política de Grupo (Group Policy). Esses métodos oferecem controle granular sobre as políticas de segurança, permitindo que administradores desativem completamente a opção de reativação por parte dos usuários.
Recomenda-se que equipes de TI utilizem essas ferramentas para padronizar o comportamento de todos os dispositivos da organização, reduzindo o risco de ataques e promovendo uma postura de segurança proativa no Microsoft 365.
Conclusão: mais um passo na modernização da segurança
O bloqueio do protocolo FPRPC nos aplicativos do Microsoft 365 para Windows representa mais do que uma atualização técnica: trata-se de um movimento estratégico da Microsoft rumo a um ecossistema mais seguro, moderno e resiliente. Assim como o fim dos controles ActiveX e de outros protocolos legados, essa mudança reforça o compromisso da empresa com a segurança da informação corporativa.
Administradores de TI, este é o momento de revisar suas políticas de segurança e garantir que sua organização não dependa de protocolos legados. Compartilhe nos comentários como sua empresa está se preparando para essa transição.
