Falhas no Microsoft Teams permitiam falsificação de identidade em mensagens, notificações e chamadas

Manipulações em campos de remetente, tópico, mensagem e chamada podiam permitir que usuários convidados ou contas internas comprometidas se apresentassem como executivos ou contatos confiáveis dentro do Teams.

Componente	Microsoft Teams, incluindo fluxos de mensagens, chats privados, conversas em grupo, notificações e chamadas de áudio ou vídeo.
Vetor	Usuário convidado externo, usuário interno malicioso, conta comprometida, bot ou webhook capaz de enviar ou manipular payloads JSON aceitos pelo Teams.
Impacto	Falsificação de identidade visual, alteração de aparência de notificações, manipulação de histórico de mensagens e apresentação de chamadas como se viessem de outro usuário.
Prioridade	Confirmar a aplicação das correções já disponibilizadas pela Microsoft, restringir convidados, revisar bots e webhooks, e exigir verificação fora do Teams para solicitações sensíveis.
Versões	O `CVE-2024-38197` foi divulgado anteriormente para Microsoft Teams para iOS em clientes antigos com validação insuficiente de campos de remetente; a análise adicional descreve exploração no Teams Web sem lista pública de versões afetadas.
Artefatos	Campos e valores como `clientmessageid`, `OriginalArrivalTime`, UUID de usuário, `imdisplayname`, atributo `from`, `displayName` em `participants`, requisições `POST` e endpoint `PUT` de tópico de conversa.

Resumo técnico

As falhas analisadas atingiam mecanismos de confiança da interface do Microsoft Teams, especialmente a forma como o cliente exibia identidade de remetente, notificações, tópicos de conversa e chamadas. O problema não dependia de execução de código no endpoint da vítima nem de comprometimento do servidor do Teams. O risco estava na aceitação e renderização de campos controláveis em payloads JSON usados por fluxos normais da aplicação. Quando esses campos eram manipulados por um usuário convidado, por uma conta interna maliciosa, por uma conta corporativa comprometida, por um bot ou por um webhook, a interface podia apresentar uma identidade diferente da identidade real que originou a ação.

O impacto prático era a quebra da confiança operacional em comunicações corporativas. Um invasor com acesso limitado a um tenant ou a uma conversa podia criar contexto visual compatível com mensagens de executivos, áreas financeiras, equipes jurídicas ou responsáveis por operações críticas. Essa condição aumenta o risco de fraude, coleta de credenciais, distribuição de links maliciosos, vazamento de informação e interferência em reuniões sensíveis. A Microsoft informou ter corrigido as vulnerabilidades reportadas, mas os cenários descritos continuam relevantes para defesa porque demonstram que controles nativos de colaboração não substituem validação de identidade, governança de convidados e monitoramento de integrações automatizadas.

Fluxo técnico

No fluxo de mensagens, o Teams Web processava requisições com corpo JSON contendo identificadores de cliente, conteúdo e metadados associados à mensagem. Depois do envio de uma requisição POST, a resposta incluía OriginalArrivalTime, um valor de timestamp Unix usado em operações posteriores, como edição, exclusão ou citação. A manipulação de clientmessageid permitia recriar ou modificar a aparência de uma mensagem sem acionar o indicador visual de edição esperado pelo usuário. Na prática, isso permitia alterar conteúdo já apresentado no histórico sem que a interface comunicasse de forma clara que a mensagem havia sido editada, degradando a integridade percebida da conversa.

Outro ponto explorável estava na separação entre identidade real da conta e campos exibidos ao destinatário. O parâmetro imdisplayname, usado em notificações, podia receber valor arbitrário, fazendo com que um alerta no desktop ou no celular parecesse vir de uma pessoa diferente. Em payloads criados por bot ou webhook, atributos from falsificados também podiam ser renderizados como usuários confiáveis. Em chamadas, o valor displayName dentro de participants podia ser alterado para apresentar um nome escolhido pelo atacante ao destinatário. Em chats privados, a funcionalidade de atualização de tópico por endpoint PUT, normalmente esperada em conversas de grupo, podia ser abusada para modificar contexto visual e induzir o usuário a interpretar uma conversa direta como se fosse com outra pessoa.

Superfície afetada

A superfície exposta inclui organizações que usam Microsoft Teams com convidados externos, chats privados entre áreas sensíveis, canais com bots, webhooks de automação e reuniões usadas para aprovações ou discussões confidenciais. O requisito central para exploração era acesso autenticado ao ambiente ou a uma integração com capacidade de enviar payloads aceitos pelo Teams. Isso reduz a barreira para cenários de ameaça em que um fornecedor convidado, uma conta de parceiro, uma identidade interna comprometida ou um colaborador malicioso já consegue interagir com usuários da organização.

O risco é maior quando decisões financeiras, aprovação de mudanças, compartilhamento de documentos, redefinição de credenciais ou autorização de exceções ocorrem exclusivamente dentro do Teams. A interface de colaboração costuma carregar forte sinal de confiança porque nomes, avatares, notificações e histórico são tratados pelos usuários como provas suficientes de identidade. Quando campos de apresentação podem ser manipulados, a defesa precisa considerar que a aparência do remetente não é evidência forte. Ambientes com permissões amplas para convidados, criação descentralizada de webhooks e bots sem revisão têm exposição maior, pois ampliam os pontos de entrada autenticados que podem acionar os fluxos vulneráveis.

Tenants com acesso de convidados habilitado e pouca revisão de convites, pertencimento a equipes ou permissões de conversa.
Chats privados e grupos usados para aprovar pagamentos, liberar dados sensíveis, trocar credenciais temporárias ou coordenar respostas a incidentes.
Bots e webhooks com permissão para publicar mensagens em conversas corporativas sem inventário, proprietário definido e revisão periódica.
Usuários que recebem chamadas, mensagens e notificações móveis do Teams como sinal suficiente para validar identidade ou urgência.

Hunting e telemetria

A investigação deve começar por eventos de identidade e colaboração em torno de usuários convidados, integrações e contas com comportamento incomum. A equipe deve correlacionar criação ou uso recente de convidados no Entra ID, entrada em equipes ou chats, envio de mensagens por bots e webhooks, alterações de tópico em conversas e chamadas iniciadas em horários ou contextos incompatíveis com o padrão do usuário. Como os artefatos envolvem campos de apresentação e não necessariamente malware no endpoint, a telemetria de auditoria do Microsoft 365 e registros de aplicação são mais úteis do que sinais tradicionais de antivírus.

Em incidentes suspeitos, preservar o conteúdo exportado de conversas e comparar remetente real, identificadores de usuário e valores exibidos é essencial. O UUID associado ao usuário, valores como 8:orgid:..., clientmessageid, OriginalArrivalTime, atributos from, imdisplayname e displayName ajudam a reconstruir o fluxo técnico quando disponíveis em logs, exportações ou capturas de requisição autorizadas. A análise deve procurar divergência entre identidade autenticada e identidade apresentada ao destinatário, especialmente quando a mensagem pediu clique em link, envio de arquivo, alteração de pagamento, liberação de segredo, instalação de software ou participação urgente em chamada.

Mensagens ou chamadas em que o nome exibido ao destinatário não corresponde ao usuário autenticado, ao identificador interno ou ao histórico normal da conta.
Alterações de tópico em conversas privadas, especialmente próximas a solicitações sensíveis ou interações com usuários de áreas financeiras, jurídicas ou executivas.
Publicações originadas de bots ou webhooks com texto que simula autoridade interna, urgência operacional, instrução financeira ou solicitação de credencial.
Criação ou uso recente de convidados externos seguido por mensagens diretas, convites de reunião, chamadas ou links enviados a funcionários internos.
Reutilização anômala de clientmessageid ou alterações de conteúdo sem marcador visual de edição quando houver captura técnica suficiente para validar a sequência.

Mitigação

A primeira medida é garantir que os clientes e serviços do Teams estejam cobertos pelas correções já disponibilizadas pela Microsoft, incluindo ambientes móveis associados ao CVE-2024-38197. Mesmo sem ação manual específica anunciada para os achados reportados, administradores devem validar política de atualização, bloquear clientes antigos quando possível e revisar exceções que permitam uso de versões desatualizadas. Em paralelo, a organização deve reduzir a superfície autenticada: limitar convidados por domínio, exigir aprovação para convites externos, revisar equipes com membros de fora do tenant e remover acessos que não tenham proprietário ou justificativa operacional.

A contenção defensiva também exige controles de processo. Solicitações de pagamento, mudança de conta bancária, liberação de segredo, compartilhamento de dados regulados, alteração de configuração crítica ou instalação de software não devem ser aprovadas apenas por mensagem ou chamada no Teams. Essas ações precisam de verificação por canal independente, como sistema de ticket, assinatura corporativa, fluxo de aprovação em ferramenta de governança ou contato confirmado por diretório interno. Para bots e webhooks, mantenha inventário, proprietário, escopo mínimo de publicação e revisão de conteúdo. Em resposta a um caso suspeito, preserve mensagens, identidades envolvidas, horário, conversa, integrações, links e registros de acesso antes de remover contas ou apagar artefatos.

Aplicar atualizações do Microsoft Teams e bloquear o uso de clientes antigos quando a política de gerenciamento permitir.
Restringir convidados externos, revisar membros de equipes e remover acessos sem necessidade atual ou sem responsável interno.
Inventariar bots e webhooks, limitar onde podem publicar e remover integrações sem proprietário, justificativa ou registro de mudança.
Exigir verificação fora do Teams para pagamentos, redefinições de credencial, envio de dados sensíveis e decisões executivas urgentes.
Treinar usuários de áreas críticas para validar identidade por identificador corporativo e fluxo aprovado, não apenas por nome exibido, avatar, notificação ou chamada recebida.
Durante investigação, correlacionar mensagens, chamadas, tópicos alterados, integrações e logs de identidade antes de concluir que a conta exibida foi a conta que originou a ação.

Falhas no Microsoft Teams permitiam falsificação de identidade em mensagens, notificações e chamadas

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Falhas no Microsoft Teams permitiam falsificação de identidade em mensagens, notificações e chamadas

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato