Home / Empresas de IA / Falha Crítica no Microsoft 365 Copilot Permitia Roubo de Dados com um Único Clique

Falha Crítica no Microsoft 365 Copilot Permitia Roubo de Dados com um Único Clique

Por
Nenhum comentário
16 de junho de 2026 13:47

Pesquisadores de segurança da Varonis Threat Labs revelaram uma vulnerabilidade crítica — batizada de SearchLeak (CVE-2026-42824) — que transformava o Microsoft 365 Copilot Enterprise Search em uma arma silenciosa de roubo de dados. Com um único clique em um link malicioso, um atacante podia acessar e exfilar e-mails, códigos de segurança, eventos de calendário e documentos confidenciais de uma vítima corporativa.

A Microsoft já corrigiu a falha no início de junho de 2026, antes da divulgação pública. Nenhuma ação de administrador ou atualização de cliente é necessária.

Uma corrente de três elos

O SearchLeak não é uma vulnerabilidade única — é uma cadeia sofisticada que combina três fraquezas. Nenhuma delas, sozinha, permitiria o ataque completo. Juntas, porém, viram uma bomba.

1. Injeção Parâmetro-para-Prompt (P2P)

O parâmetro q da URL do Copilot Enterprise Search é enviado diretamente ao motor de IA como um prompt executável. Diferente do Copilot convencional (que gera conteúdo), o Enterprise Search varre e-mails, reuniões, arquivos do SharePoint e OneDrive da organização.

Um atacante pode criar uma URL com instruções embutidas:

https://m365.cloud.microsoft/search/?q=<PROMPT_MALICIOSO>

O Copilot interpreta essas instruções como legítimas e executa a busca nos dados indexados da vítima — sem que ela digite nada. Basta clicar.

2. Condição de Corrida no Streaming HTML

Quando o Copilot transmite sua resposta, o HTML bruto (incluindo tags <img>) é temporariamente renderizado no navegador antes da sanitização. A Microsoft tenta envolver código perigoso em blocos <code>, mas esse processo só acontece depois que o streaming termina. Nessa janela de milissegundos, o navegador já disparou a requisição maliciosa.

Como explicam os pesquisadores: “Quando o sanitizador entra em ação, o estrago já está feito.”

3. Bypass de CSP via Bing (SSRF)

A política de segurança de conteúdo (CSP) do domínio m365.cloud.microsoft bloqueia imagens de domínios controlados por atacantes — mas *.bing.com está na lista de permissões. O recurso “Pesquisar por Imagem” do Bing aceita um parâmetro imgurl e faz uma requisição server-side a partir da infraestrutura do Bing.

Isso transforma o Bing em um proxy involuntário de exfiltração — um clássico Server-Side Request Forgery (SSRF) escondido atrás de uma entrada legítima na CSP.

Como o ataque funciona na prática

O prompt injetado instrui o Copilot a:

  1. Buscar e-mails recebidos pela vítima
  2. Extrair o título e substituir espaços por underscores
  3. Embutir esse título em uma URL de imagem apontando para o Bing
  4. O Bing, por sua vez, busca a imagem em um domínio controlado pelo atacante

O fluxo completo leva menos de um segundo:

  • A vítima clica no link (enviado por e-mail, Teams, etc.)
  • O Copilot processa o prompt, busca os dados e gera uma resposta com tag <img>
  • O navegador renderiza a tag durante o streaming e dispara uma requisição ao Bing
  • O Bing busca atacante.com/DADOS_ROUBADOS/img.png
  • O atacante registra o caminho da requisição e extrai os dados

“A vítima pode ver o Copilot ‘pensando’ por um instante. A resposta pode parecer estranha, mas a essa altura os dados já foram embora.”

Impacto e dados em risco

O Copilot opera com as permissões completas de grafo da vítima — ou seja, herda acesso a todos os dados organizacionais indexados. Os tipos de informação que podiam ser exfiltrados incluem:

  • Códigos de segurança e OTPs: senhas temporárias e links de redefinição de senha
  • Códigos 2FA/MFA: permitindo ativar autenticação multifator para outros serviços
  • E-mails confidenciais: comunicações internas, dados financeiros, planos de aquisição
  • Eventos de calendário: participantes, pautas, notas de reuniões
  • Documentos corporativos: relatórios financeiros, dados salariais, planos estratégicos

Recomendações para times de segurança

Embora a Microsoft já tenha corrigido a vulnerabilidade, a Varonis recomenda:

  • Monitorar URLs suspeitas do Copilot: buscar payloads codificados no parâmetro q contendo tags HTML ou instruções de exfiltração
  • Revisar allowlists de CSP: qualquer domínio permitido que faça fetches server-side com URLs fornecidas pelo usuário é um canal potencial de ataque
  • Tratar output de streaming de IA como não confiável: a sanitização precisa acontecer no momento da renderização, não no pós-processamento

O SearchLeak segue a descoberta anterior da Varonis, o Reprompt — outra vulnerabilidade crítica em assistentes de IA. Juntas, essas falhas mostram como a IA cria novos caminhos de ataque que se apoiam em fraquezas antigas, permanecendo extremamente difíceis de detectar por times de segurança tradicionais.

Marcado:
tiago

Related Posts

Nobel da Química John Jumper deixa o Google DeepMind e vai para a ...
20 de junho de 2026
Siri AI na Prática: Um Assistente Inteligente e Prestativo
20 de junho de 2026
Filme Sobre Sam Altman é Abandonado pela Amazon MGM
19 de junho de 2026

Deixe um Comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Social Icons

Facebook1,000FãsCurtirX (Twitter)1,000SeguidoresSeguirInstagram1,000SeguidoresSeguirPinterest1,000SeguidoresPinYoutube1,000InscritosInscrever-seTiktok1,000SeguidoresSeguirTelegram1,000MembrosJunte-seSoundcloud1,000SeguidoresSeguirVimeo1,000SeguidoresSeguirDribbble1,000SeguidoresSeguir