Falha no Microsoft Exchange permite que atacantes falsifiquem endereços de e-mail

A falha Ghost-Sender, divulgada pela InfoGuard em 9 de junho de 2026, não é um bug de código, mas uma brecha arquitetural no Exchange Online e em ambientes híbridos com servidor de terceiros como MX. Ela permite que atacantes enviem e-mails falsificados de qualquer domínio, inclusive de executivos ou áreas financeiras, sem serem bloqueados por SPF, DKIM ou DMARC. Isso acontece porque o Exchange aceita mensagens com o cabeçalho X-MS-Exchange-Organization-AuthAs: Internal mesmo quando originadas de IPs externos não autorizados. A Microsoft reconheceu a falha como 'limitação de design', não como vulnerabilidade corrigível por atualização, ou seja, não há patch. Em vez disso, exige mudanças operacionais imediatas.

O cenário mais crítico ocorre em organizações que usam filtro de spam ou gateway de e-mail de terceiros (como Proofpoint, Mimecast ou Barracuda) como registro MX. Nesses casos, o tráfego entra pelo gateway, é autenticado como interno pelo Exchange e segue para a caixa do destinatário sem verificação real do remetente. Dados da InfoGuard indicam que menos de 50% dessas empresas já aplicaram mitigação. Evidências confirmam exploração ativa desde maio de 2026, com campanhas direcionadas a setores financeiros e jurídicos no Brasil e na Europa.

Ghost-Sender anula a proteção de spoofing que organizações brasileiras investiram anos para implementar. SPF, DKIM e DMARC deixam de funcionar, não por falha técnica, mas porque o Exchange ignora esses controles ao processar mensagens com AuthAs: Internal. Isso torna inúteis alertas como 'Este remetente não está autorizado' ou selos de verificação visual no Outlook. O risco não é só de phishing genérico: é de Business Email Compromise (BEC), onde um e-mail falso de 'diretoria financeira' pede transferência bancária urgente. A CISA já listou a CVE-2026-42897 (falha XSS + spoofing no OWA) no catálogo KEV, exigindo correção imediata, mas Ghost-Sender não tem CVE, pois a Microsoft não classifica como vulnerabilidade explorável via código.

Para equipes de TI e segurança, Ghost-Sender exige revisão imediata de toda a infraestrutura de roteamento de e-mail. Desativar Direct Send é a primeira ação, mas não basta se o MX ainda aponta para gateway externo. É obrigatório substituir isso por um partner connector com validação de certificado TLS e whitelist de IPs, ou usar regras de fluxo que quarentenem mensagens com AuthAs: Internal vindas de IPs fora do range corporativo. Ferramentas como o spoof intelligence insight no Microsoft Defender for Office 365 ajudam a identificar remetentes falsificados legítimos, mas não impedem Ghost-Sender. Devs que automatizam envios via PowerShell devem revisar scripts que usam cmdlets como Send-MailMessage ou Invoke-Expression com parâmetros de autenticação interna, eles podem ser abusados nesse cenário.