Resumo
Pesquisadores identificaram uma campanha que abusa de domínios .onmicrosoft.com — legítimos de tenants Azure — para enviar convites e notificações que induzem vítimas a ligar para números de suporte fraudulento. O método explora a reputação dos serviços Microsoft para contornar gateways e enganar usuários sem necessidade de anexos maliciosos.
Mecânica do ataque
A técnica, descrita por pesquisadores citados no relatório, consiste em criar um tenant controlado e enviar Microsoft Invites cujo campo "Message" contém o conteúdo de engenharia social. Esses convites geram notificações de e-mail com aparência legítima porque transitam pela infraestrutura Microsoft, usando domínios .onmicrosoft.com com alta reputação.
Elementos chaves do vetor:
- Convite Microsoft enviado de um tenant controlado.
- Mensagem visível no corpo da notificação com instrução para ligar a um número de suporte fraudulento.
- Nenhuma ação de aceite do invite ou autenticação é necessária para que o conteúdo seja entregue na caixa de entrada da vítima.
Evasão e limitações das defesas
Como o tráfego é roteado por serviços oficiais, muitos gateways de e-mail e filtros de reputação falham em sinalizar o conteúdo como malicioso. O artigo aponta que mesmo soluções como Microsoft Defender for Office 365 (MDO) podem marcar alguns desses envios, mas confiar apenas em detecção automatizada é arriscado.
Medidas padrão de proteção do catálogo Entra para restringir B2B não bloqueiam o padrão, porque o remetente utiliza um tenant legítimo. Além disso, bloquear o domínio .onmicrosoft.com não é viável, já que isso afetaria tráfego administrativo legítimo e parceiros que ainda usam o domínio padrão.
Mitigações técnicas recomendadas
Os pesquisadores recomendam regras de transporte no Exchange que inspecionem o corpo da mensagem com expressões regulares direcionadas ao padrão usado no ataque. Um exemplo sugerido é:
Domain:\s+([A-Za-z0-9]+)\.onmicrosoft\.com
Implementar essa detecção exige cautela. Antes de aplicar bloqueios, equipes de segurança devem auditar comunicações para identificar fornecedores ou contratados que ainda usam o domínio .onmicrosoft.com, e criar listas de permissões onde necessário.
Impacto operacional e recomendações para SOCs
O risco operacional é alto por tratar-se de engenharia social direta: quando o usuário liga para o número fraudulento, pode ser induzido a compartilhar credenciais, códigos MFA ou a executar ações administrativas. Mitigações práticas imediatas:
- Auditar notificações Microsoft recebidas nas últimas 30–90 dias para identificar padrões de invites maliciosos.
- Implementar Exchange Transport Rules com regex visando o padrão .onmicrosoft.com, testando em modo de monitoramento antes de bloquear.
- Atualizar playbooks de CSIRT e SOC para tratar convites e notificações de Microsoft como possível vetor de TOAD (Telephone‑Oriented Attack Delivery).
- Treinamento dirigido a usuários com foco em números de suporte e chamadas recebidas: confirmar números via canais oficiais do fornecedor antes de fornecer quaisquer credenciais.
Observações finais
O ataque não explora uma vulnerabilidade técnica em produtos Microsoft, mas a confiança legível nas infraestruturas legítimas. Organizações dependentes de comunicações B2B via tenants de terceiros devem auditar relações contratuais e preparar controles que distingam invites legítimos de mensagens de engenharia social. Falta nos relatórios um inventário público de tenants abusados ou amostras amplas que permitam bloquear automaticamente os remetentes sem impacto colateral; por isso a auditoria interna é crítica.