A recente vulnerabilidade Microsoft Teams Defender expôs uma falha arquitetônica séria, capaz de desativar automaticamente as proteções do Microsoft Defender para Office 365 quando um usuário ingressa como convidado em um tenant externo. Este comportamento cria um ponto cego crítico na colaboração corporativa e abre espaço para ataques altamente direcionados, especialmente em ambientes B2B onde o intercâmbio entre organizações é frequente.
A falha permite que um invasor use um tenant malicioso para atrair vítimas por meio de um convite legítimo do Teams, o que leva a um bypass do Defender no Teams. O problema ganha relevância porque habilita ataques sofisticados sem a necessidade de explorar vulnerabilidades tradicionais em e-mail, já que o convite enviado é legítimo e autenticamente assinado pelo Azure AD. Neste artigo, detalhamos como a falha funciona, por que representa risco e quais medidas imediatas os administradores devem aplicar para proteger sua organização.
Com o aumento das interações Tenant-to-Tenant e do uso de Acesso de Convidado no Microsoft 365, ambientes corporativos tornam-se cada vez mais vulneráveis a falhas de configuração e lacunas arquitetônicas. Por isso, entender o problema e agir rápido é essencial para manter uma postura de segurança robusta.
Detalhando a falha: como o acesso de convidado anula o defender
A vulnerabilidade surge de uma lacuna arquitetônica fundamental no modelo de colaboração do Microsoft Teams, onde as políticas de segurança aplicadas dentro do tenant de destino se sobrepõem às do tenant de origem. Isso significa que, quando um usuário é adicionado como convidado a outro tenant, ele passa a operar sob as políticas de segurança do ambiente externo, não da sua própria organização.
Na prática, se o tenant externo tiver uma configuração de segurança inferior ou até mesmo inexistente, todas as proteções críticas, incluindo as funções de Links Seguros, Anexos Seguros e detecções avançadas do Microsoft Defender para Office 365, deixam de ser aplicadas ao usuário convidado.
Este é o ponto central da falha de segurança no Teams B2B. O cenário abre espaço para que um invasor crie um ambiente propositalmente inseguro, utilize-o para hospedar conteúdo malicioso e convide usuários corporativos para acessá-lo sem que suas proteções de segurança funcionem.
Cenário de ataque: o tenant malicioso e as zonas sem proteção
O ataque é simples, barato e altamente eficaz. O invasor cria um tenant de Microsoft 365 usando uma licença de baixo custo, como Teams Essentials, que não inclui o Microsoft Defender para Office 365. Em seguida, prepara canais, chats ou arquivos que contenham links ou anexos maliciosos.
O passo seguinte é convidar usuários corporativos de empresas-alvo para ingressarem como convidados (Guest Access) nesse tenant. Como o convite é legítimo e enviado pela infraestrutura da Microsoft, ele passa por controles de autenticidade, o que contribui para a eficácia da engenharia social.
Uma vez que o usuário aceita o convite, ele entra em uma zona sem proteção, onde os mecanismos de defesa do Defender não se aplicam. A partir desse momento, o invasor tem liberdade para explorar o ambiente e induzir cliques ou downloads maliciosos sem detecção.
O perigo do e-mail de convite: contornando verificações SPF, DKIM e DMARC
Um aspecto extremamente preocupante dessa vulnerabilidade é que o e-mail de convite enviado pelo serviço de identidade da Microsoft contorna integralmente verificações como SPF, DKIM e DMARC. Isso acontece porque o e-mail não é enviado pelo tenant malicioso, mas sim pela infraestrutura da própria Microsoft.
Esse comportamento dá ao atacante duas vantagens importantes: o convite não é marcado como suspeito ou falsificado e a mensagem é considerada autêntica por ferramentas de proteção tradicionais. O resultado é um vetor de entrada que parece confiável para o usuário final e para as próprias soluções de segurança de e-mail.
Diferença crítica: acesso de convidado vs. acesso externo no teams
É fundamental entender a diferença entre os dois modelos de colaboração no Teams:
Acesso de Convidado (Guest Access)
Permite que usuários externos sejam adicionados ao tenant como identidades B2B gerenciadas. Eles passam a fazer parte da estrutura do ambiente remoto e são submetidos às políticas de segurança do tenant de destino.
Acesso Externo (External Access)
Permite comunicação entre domínios, como chats ou chamadas, sem que o usuário externo seja incorporado ao tenant remoto. Neste caso, ele continua operando sob as políticas de segurança da própria organização.
A vulnerabilidade afeta exclusivamente o Acesso de Convidado, porque é nele que ocorre a migração da superfície de segurança para o tenant de destino. Essa distinção é crucial para entender as opções de mitigação apresentadas a seguir.
Guia urgente de mitigação: protegendo sua organização no microsoft 365
A seguir, apresentamos um conjunto de ações prioritárias e práticas para evitar a exposição ao bypass do Defender no Teams. Todas as medidas são especialmente críticas em ambientes com forte colaboração B2B.
1. Restringir ou desabilitar o Acesso de Convidado no Microsoft Entra ID
Avalie imediatamente quem realmente precisa da funcionalidade e aplique o princípio de menor privilégio. Em muitos ambientes, a colaboração externa pode ser mantida apenas via Acesso Externo, sem incorporar identidades B2B.
2. Revisar e endurecer os Controles entre Locatários (Cross-Tenant Access Settings)
O Microsoft Entra ID permite configurar permissões granulares entre tenants. Restringir convites, limitar tenants permitidos e bloquear ambientes desconhecidos reduz drasticamente o risco de exploração.
3. Criar listas de tenants confiáveis (Allowlist)
Permita colaboração apenas com tenants corporativos validados, evitando conexões com ambientes desconhecidos ou criados recentemente.
4. Habilitar políticas de Condicional Access restritas para identidades B2B
Exija autenticação multifator, verificação de dispositivos e políticas baseadas em risco para qualquer acesso como convidado.
5. Monitorar e alertar sobre convites de convidados incomuns
Crie alertas para detectar aumento inesperado de convites enviados a usuários internos. Muitos ataques começam com convites massivos.
6. Utilizar políticas de Cloud App Security para reconhecer anomalias em ambientes externos
Configurações de detecção de atividades incomuns podem identificar acesso em tenants maliciosos.
7. Treinar usuários para reconhecer riscos associados a convites do Teams
Eduque colaboradores sobre a diferença entre acessar sua própria organização e atuar como convidados em ambientes externos.
8. Auditar periodicamente identidades B2B presentes no tenant
Remova convidados que não precisam mais de acesso e revise permissões especiais que possam ter sido concedidas ao longo do tempo.
Conclusão e visão de longo prazo
A vulnerabilidade descrita destaca a importância de reforçar a postura de segurança em ambientes Tenant-to-Tenant, principalmente em tempos de colaboração intensa entre empresas. A abordagem tradicional de confiança implícita em plataformas corporativas já não é suficiente diante desse tipo de ataque.
A adoção de uma estratégia de Confiança Zero (Zero Trust) torna-se obrigatória para mitigar riscos associados ao Acesso de Convidado no Teams, garantindo que cada acesso e cada identidade sejam continuamente avaliados, independentemente do ambiente onde operam.
O momento exige que administradores de TI revisem imediatamente suas políticas de colaboração externa, principalmente no Microsoft Entra ID, ajustando permissões, regras de acesso e práticas de segurança para evitar que ambientes maliciosos se tornem porta de entrada para ataques avançados.
