IA em Foco
Voltar para o blog
Ética em IA

Falha Crítica no Microsoft 365 Copilot Permitia Roubo de Dados com um Único Clique

16 de junho de 2026
10:47
microsoftsegurancaIAcopilotsearchleakcvevaronis
Falha Crítica no Microsoft 365 Copilot Permitia Roubo de Dados com um Único Clique

Pesquisadores de segurança da Varonis Threat Labs revelaram uma vulnerabilidade crítica — batizada de SearchLeak (CVE-2026-42824) — que transformava o Microsoft 365 Copilot Enterprise Search em uma arma silenciosa de roubo de dados. Com um único clique em um link malicioso, um atacante podia acessar e exfilar e-mails, códigos de segurança, eventos de calendário e documentos confidenciais de uma vítima corporativa.

A Microsoft já corrigiu a falha no início de junho de 2026, antes da divulgação pública. Nenhuma ação de administrador ou atualização de cliente é necessária.

Uma corrente de três elos

O SearchLeak não é uma vulnerabilidade única — é uma cadeia sofisticada que combina três fraquezas. Nenhuma delas, sozinha, permitiria o ataque completo. Juntas, porém, viram uma bomba.

1. Injeção Parâmetro-para-Prompt (P2P)

O parâmetro q da URL do Copilot Enterprise Search é enviado diretamente ao motor de IA como um prompt executável. Diferente do Copilot convencional (que gera conteúdo), o Enterprise Search varre e-mails, reuniões, arquivos do SharePoint e OneDrive da organização.

Um atacante pode criar uma URL com instruções embutidas:

https://m365.cloud.microsoft/search/?q=<PROMPT_MALICIOSO>;

O Copilot interpreta essas instruções como legítimas e executa a busca nos dados indexados da vítima — sem que ela digite nada. Basta clicar.

2. Condição de Corrida no Streaming HTML

Quando o Copilot transmite sua resposta, o HTML bruto (incluindo tags <img>) é temporariamente renderizado no navegador antes da sanitização. A Microsoft tenta envolver código perigoso em blocos <code>, mas esse processo só acontece depois que o streaming termina. Nessa janela de milissegundos, o navegador já disparou a requisição maliciosa.

Como explicam os pesquisadores: "Quando o sanitizador entra em ação, o estrago já está feito."

3. Bypass de CSP via Bing (SSRF)

A política de segurança de conteúdo (CSP) do domínio m365.cloud.microsoft bloqueia imagens de domínios controlados por atacantes — mas *.bing.com está na lista de permissões. O recurso "Pesquisar por Imagem" do Bing aceita um parâmetro imgurl e faz uma requisição server-side a partir da infraestrutura do Bing.

Isso transforma o Bing em um proxy involuntário de exfiltração — um clássico Server-Side Request Forgery (SSRF) escondido atrás de uma entrada legítima na CSP.

Como o ataque funciona na prática

O prompt injetado instrui o Copilot a:

  1. Buscar e-mails recebidos pela vítima
  2. Extrair o título e substituir espaços por underscores
  3. Embutir esse título em uma URL de imagem apontando para o Bing
  4. O Bing, por sua vez, busca a imagem em um domínio controlado pelo atacante

O fluxo completo leva menos de um segundo:

  • A vítima clica no link (enviado por e-mail, Teams, etc.)
  • O Copilot processa o prompt, busca os dados e gera uma resposta com tag <img>
  • O navegador renderiza a tag durante o streaming e dispara uma requisição ao Bing
  • O Bing busca atacante.com/DADOS_ROUBADOS/img.png
  • O atacante registra o caminho da requisição e extrai os dados

"A vítima pode ver o Copilot 'pensando' por um instante. A resposta pode parecer estranha, mas a essa altura os dados já foram embora."

Impacto e dados em risco

O Copilot opera com as permissões completas de grafo da vítima — ou seja, herda acesso a todos os dados organizacionais indexados. Os tipos de informação que podiam ser exfiltrados incluem:

  • Códigos de segurança e OTPs: senhas temporárias e links de redefinição de senha
  • Códigos 2FA/MFA: permitindo ativar autenticação multifator para outros serviços
  • E-mails confidenciais: comunicações internas, dados financeiros, planos de aquisição
  • Eventos de calendário: participantes, pautas, notas de reuniões
  • Documentos corporativos: relatórios financeiros, dados salariais, planos estratégicos

Recomendações para times de segurança

Embora a Microsoft já tenha corrigido a vulnerabilidade, a Varonis recomenda:

  • Monitorar URLs suspeitas do Copilot: buscar payloads codificados no parâmetro q contendo tags HTML ou instruções de exfiltração
  • Revisar allowlists de CSP: qualquer domínio permitido que faça fetches server-side com URLs fornecidas pelo usuário é um canal potencial de ataque
  • Tratar output de streaming de IA como não confiável: a sanitização precisa acontecer no momento da renderização, não no pós-processamento

O SearchLeak segue a descoberta anterior da Varonis, o Reprompt — outra vulnerabilidade crítica em assistentes de IA. Juntas, essas falhas mostram como a IA cria novos caminhos de ataque que se apoiam em fraquezas antigas, permanecendo extremamente difíceis de detectar por times de segurança tradicionais.