Segundo o estudo, ferramentas como Microsoft Teams, OneDrive, Outlook, OneNote, Excel e Word estão suscetíveis a invasões. Na prática, essas vulnerabilidades poderiam ser exploradas para contornar permissões de segurança, concedendo privilégios que comprometem a segurança do usuário.

No total, foram identificadas oito vulnerabilidades distintas no macOS, classificadas conforme o aplicativo ou ferramenta que apresenta a falha:

• CVE-2024-42220 — Outlook
• CVE-2024-42004 — Teams
• CVE-2024-39804 — PowerPoint
• CVE-2024-41159 — OneNote
• CVE-2024-43106 — Excel
• CVE-2024-41165 — Word
• CVE-2024-41145 — Webview.app do Teams
• CVE-2024-41138 — modulehost.app do Teams

Essas vulnerabilidades são exploradas por meio da injeção de bibliotecas não autorizadas durante a execução desses programas. Elas aproveitam falhas no framework Transparency, Consent and Control (TCC), que gerencia várias permissões de segurança dos aplicativos da Microsoft.

As consequências dessas falhas variam desde o roubo de dados até a concessão de permissões para uso do microfone e da webcam, possibilitando a espionagem das atividades da vítima ou a obtenção de informações confidenciais da empresa, por exemplo.

Em resposta, a Microsoft lançou atualizações para os aplicativos Teams e OneNote no macOS, corrigindo as falhas identificadas no relatório. No entanto, a empresa minimizou a gravidade e a urgência dessas vulnerabilidades, e as demais brechas permanecem sem correção até o momento.

De acordo com a Microsoft, os ataques exigiriam o uso de bibliotecas não oficiais em plugins de terceiros, algo considerado incomum nesses serviços. A Apple, que também poderia atualizar o framework envolvido, ainda não se pronunciou sobre o assunto.

Link do estudo completo: https://blog.talosintelligence.com/how-multiple-vulnerabilities-in-microsoft-apps-for-macos-pave-the-way-to-stealing-permissions/

A partir da data mencionada, será obrigatório fazer login em todas as contas de e-mail pessoal da Microsoft utilizando a Autenticação Moderna. Essa tecnologia proporcionará mais segurança, reduzindo as chances de acesso não autorizado às contas de e-mail.

Segundo a Microsoft, a Autenticação Moderna engloba procedimentos e tokens de serviço que aumentam a segurança, porém muitas vezes são imperceptíveis para o usuário. No entanto, em algumas ocasiões, durante o processo de autenticação, poderá ser solicitada a autorização para acessar certos recursos adicionais ou informações para finalizar a operação.

Aqueles que acessam um e-mail na Microsoft através do serviço Outlook.com não perceberão diferenças significativas, visto que a versão online do serviço já está preparada para a Autenticação Moderna. No entanto, se o usuário utilizar clientes de e-mail para acessar, é importante verificar se o programa é compatível com o novo sistema de autenticação.

Os programas mais recentes do Outlook para Windows, Android, iOS e macOS aceitam a Autenticação Moderna, de acordo com a Microsoft. Isso também se aplica aos aplicativos Apple Mail e Thunderbird.

Fim do suporte ao Windows Mail e Calendar

Em 2023, a Microsoft lançou uma nova versão do aplicativo Outlook para Windows. Com isso, a empresa só oferecerá suporte às ferramentas de e-mail e calendário do sistema operacional até o final de 2024, enquanto os usuários que ainda as utilizam terão que migrar para o novo e mais seguro Outlook.

A Microsoft anunciou que também encerrará o suporte para a versão “lite” do Outlook Web App que roda em navegadores mais antigos. Esta medida entrará em vigor em 19 de agosto de 2024. Após essa data, qualquer pessoa que use um navegador mais antigo deverá acessar o Outlook.com “normal”, que requer um dos seguintes navegadores:

• Microsoft Edge 79 ou superior
• Google Chrome 79 ou superior
• Mozilla Firefox 78 ou superior
• Apple Safari 16 ou superior
• Opera 76 ou superior