Falha grave afeta Teams Android
A Microsoft divulgou em 9 de junho de 2026 uma vulnerabilidade de divulgação de informações no Microsoft Teams para Android, rastreada como CVE-2026-42835, com pontuação CVSS 3.1 de 8,1. A falha permite que um atacante autenticado com baixos privilégios leia partes da memória heap do aplicativo remotamente, sem interação do usuário, podendo expor tokens de autenticação, dados de sessão e credenciais em cache em ambientes corporativos. A divulgação segue uma série recente de alertas de segurança urgente para vulnerabilidades em software amplamente usado.
Detalhes técnicos da falha
A vulnerabilidade decorre da neutralização inadequada de elementos especiais na saída usada por um componente downstream, classificada sob CWE-74 (Injeção). Segundo o advisory da Microsoft, o vetor de ataque é remoto (AV:N), com complexidade baixa (AC:L), o que significa que o atacante não precisa de conhecimento avançado do sistema alvo — um payload simples contra o componente vulnerável pode ser repetido com sucesso. O privilégio exigido é baixo: qualquer usuário autenticado, incluindo contas com permissões mínimas, pode disparar a exploração.
Embora a Microsoft classifique a exploração como “menos provável” e não tenha registrado ataques ativos no momento da divulgação, a natureza da falha é preocupante. A leitura de heap memory pode revelar informações sensíveis em tempo de execução — como tokens de sessão, metadados de autenticação e credenciais temporárias —, especialmente crítico em ambientes corporativos onde o Teams concentra comunicações internas e compartilhamento de arquivos.
Vetores de ataque e impacto
A vulnerabilidade foi descoberta por Ofek Levin, pesquisador da empresa de segurança Enclave, por meio do programa de divulgação coordenada da Microsoft. O pesquisador demonstrou que um atacante pode ler pequenas porções de heap memory, o que em contexto corporativo pode ser suficiente para obter acesso a recursos protegidos. Os indicadores de risco incluem:
| Métrica CVSS | Valor |
|---|---|
| Score base | 8,1 (Alto) |
| Score temporal | 7,1 |
| Vetor de ataque | Rede (remoto) |
| Complexidade | Baixa |
| Privilégios exigidos | Baixos (usuário autenticado) |
| Interação do usuário | Nenhuma |
| Impacto na confidencialidade | Alto |
| Impacto na integridade | Nenhum |
| Impacto na disponibilidade | Alto |
| Exploração ativa | Não detectada |
Atualização e mitigação
A Microsoft já lançou uma atualização de segurança disponível na Google Play Store. Administradores corporativos devem forçar a atualização do aplicativo em todos os dispositivos gerenciados, priorizando ambientes onde o Teams é usado para comunicação de dados sensíveis. Em ambientes com MDM (Mobile Device Management), é recomendável bloquear versões anteriores até que a correção seja aplicada. Equipes de segurança devem monitorar logs de acesso do Teams para identificar tentativas de exploração, restringir permissões de contas com privilégios baixos em ambientes de alto risco e revisar políticas de acesso condicional para dispositivos móveis. A correção foi disponibilizada na segunda-feira, e a Microsoft incentiva a instalação imediata, assim como ocorreu com a correção emergencial de falha crítica no Oracle PeopleSoft divulgada recentemente.
Fontes
Microsoft Security Response Center | Cyber Security News | GBHackers