Código HTML do Conteúdo

Post: O Microsoft Outlook para de exibir imagens SVG embutidas usadas em ataques

<div> <div> <p>A Microsoft diz que o Outlook para Web e o novo Outlook para Windows n&atilde;o exibir&atilde;o mais imagens SVG embutidas arriscadas que est&atilde;o sendo usadas em ataques.</p> <p>Essa mudan&ccedil;a come&ccedil;ou a ser implementada em todo o mundo no in&iacute;cio de setembro de 2025 e deve ser conclu&iacute;da para todos os clientes em meados de outubro de 2025.</p> <p>Redmond acrescentou que essa mudan&ccedil;a afetar&aacute; menos de 0,1% de todas as imagens enviadas usando o Outlook, portanto, espera-se que o impacto real ap&oacute;s o t&eacute;rmino do lan&ccedil;amento seja m&iacute;nimo.</p> <p>&ldquo;As imagens SVG embutidas n&atilde;o ser&atilde;o mais exibidas no Outlook para Web ou no novo Outlook para Windows. Em vez disso, os usu&aacute;rios ver&atilde;o espa&ccedil;os em branco onde essas imagens teriam aparecido&rdquo;, disse a empresa <a href="https://admin.microsoft.com/#/MessageCenter/:/messages/MC1130385" rel="nofollow noopener" target="_blank">dito</a> em uma atualiza&ccedil;&atilde;o do Centro de Mensagens do Microsoft 365 na ter&ccedil;a-feira.</p> <p>&ldquo;As imagens SVG enviadas como anexos cl&aacute;ssicos continuar&atilde;o a ser suportadas e vis&iacute;veis a partir do anexo. Essa atualiza&ccedil;&atilde;o ajuda a mitigar poss&iacute;veis riscos de seguran&ccedil;a, como ataques de script entre sites (XSS). &ldquo;</p> <p>Atores mal-intencionados <a href="https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/" rel="nofollow noopener" target="_blank">t&ecirc;m usado extensivamente</a> SVG (Scalable Vector Graphics) nos &uacute;ltimos anos para implantar malware e exibir formul&aacute;rios de phishing. As empresas de seguran&ccedil;a cibern&eacute;tica tamb&eacute;m relataram um aumento significativo nos ataques de phishing <a href="https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/" rel="nofollow noopener" target="_blank">Usando este formato de documento espec&iacute;fico</a>, impulsionado por plataformas PhaaS, como Tycoon2FA, Mamba2FA e Sneaky2FA.</p> <p>Por exemplo, Trustwave <a href="http://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/pixel-perfect-trap-the-surge-of-svg-borne-phishing-attacks/" rel="nofollow noopener" target="_blank">relatado em abril</a> que os ataques baseados em SVG se voltaram para campanhas de phishing, vendo um aumento impressionante de 1800% entre o in&iacute;cio de 2025 e abril de 2024.</p> <p>A desativa&ccedil;&atilde;o de imagens SVG embutidas no Microsoft Outlook faz parte de um esfor&ccedil;o mais amplo para remover ou desabilitar recursos do Office e do Windows que foram abusados em ataques direcionados a clientes da Microsoft.</p> <p>Em junho, a Microsoft tamb&eacute;m anunciou que o Outlook Web e o novo Outlook para Windows <a href="https://www.bleepingcomputer.com/news/security/microsoft-outlook-to-block-more-risky-attachments-used-in-attacks/" rel="nofollow noopener" target="_blank">Comece a bloquear os tipos de arquivo .library-ms e .search-ms.</a> Esses arquivos <a href="https://www.bleepingcomputer.com/news/security/windows-ntlm-hash-leak-flaw-exploited-in-phishing-attacks-on-governments/" rel="nofollow noopener" target="_blank">tipos foram usados anteriormente</a> ataques direcionados a entidades governamentais e foram explorados em <a href="https://www.bleepingcomputer.com/news/security/phishing-emails-abuse-windows-search-protocol-to-push-malicious-scripts/" rel="nofollow noopener" target="_blank">phishing</a> e <a href="https://www.bleepingcomputer.com/news/security/new-voldemort-malware-abuses-google-sheets-to-store-stolen-data/" rel="nofollow noopener" target="_blank">Malware</a> ataques desde, pelo menos, junho de 2022. A lista completa de anexos bloqueados do Outlook est&aacute; dispon&iacute;vel em <a href="https://learn.microsoft.com/en-us/powershell/module/exchange/set-owamailboxpolicy?view=exchange-ps#-blockedfiletypes" rel="nofollow noopener" target="_blank">Site de documenta&ccedil;&atilde;o da Microsoft</a>.</p> <p>Desde 2018, Redmond tamb&eacute;m <a href="https://www.bleepingcomputer.com/news/security/microsoft-office-365-customers-get-protection-against-malicious-macros/" rel="nofollow noopener" target="_blank">suporte expandido para sua interface de verifica&ccedil;&atilde;o antimalware (AMSI)</a> para bloquear ataques usando macros do Office VBA em aplicativos cliente do Office 365, iniciado <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-starts-blocking-office-macros-by-default-once-again/" rel="nofollow noopener" target="_blank">bloqueando macros do VBA Office</a> por padr&atilde;o, introduzido <a href="https://www.bleepingcomputer.com/news/security/microsoft-office-365-gets-protection-against-malicious-xlm-macros/" rel="nofollow noopener" target="_blank">Prote&ccedil;&atilde;o de macro XLM</a>, <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-excel-40-macros-by-default-to-block-malware/" rel="nofollow noopener" target="_blank">macros do Excel 4.0 (XLM) desabilitadas</a>, e come&ccedil;ou <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-excel-now-blocking-untrusted-xll-add-ins-by-default/" rel="nofollow noopener" target="_blank">bloqueando suplementos XLL n&atilde;o confi&aacute;veis por padr&atilde;o</a> em locat&aacute;rios do Microsoft 365.</p> <p>Em abril de 2025, tamb&eacute;m <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-blocks-activex-by-default-in-microsoft-365-office-2024/" rel="nofollow noopener" target="_blank">desabilitou todos os controles ActiveX</a> nas vers&otilde;es Windows dos aplicativos Microsoft 365 e Office 2024, ap&oacute;s seu an&uacute;ncio em maio de 2024 de que <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-to-start-killing-off-vbscript-in-second-half-of-2024/" rel="nofollow noopener" target="_blank">obsoleto VBScript</a> no segundo semestre de 2024.</p> <div> <p><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank"><br /> <img decoding="async" alt="Picus BAS Summit" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/bas-summit.jpg"><br /> </a> </p> <div> <h2><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank">O Evento de Valida&ccedil;&atilde;o de Seguran&ccedil;a do Ano: O Picus BAS Summit </a></h2> <p>Junte-se ao <strong>C&uacute;pula de Simula&ccedil;&atilde;o de Viola&ccedil;&atilde;o e Ataque</strong> e experimente o <strong>Futuro da valida&ccedil;&atilde;o de seguran&ccedil;a</strong>. Ou&ccedil;a os principais especialistas e veja como <strong>BAS alimentado por IA</strong> est&aacute; transformando a simula&ccedil;&atilde;o de viola&ccedil;&atilde;o e ataque.</p> <p>N&atilde;o perca o evento que moldar&aacute; o futuro da sua estrat&eacute;gia de seguran&ccedil;a</p> </div> </div> </div></div>