- Falha no Microsoft 365 Copilot, chamada SearchLeak, poderia vazar e-mails, arquivos, convites de calendário e códigos temporários de autenticação a partir de um clique em um link legítimo da Microsoft.
- A vulnerabilidade foi identificada pela Varonis Threat Labs e recebeu o identificador CVE-2026-42824.
- O problema combinava três fraquezas para transformar uma consulta do Copilot Enterprise Search em um caminho de exfiltração de dados, iniciando com um link para um domínio real da Microsoft.
- O atacante não precisava digitar senha nem realizar ações adicionais; a invasão explorava o parâmetro de busca do Copilot para inserir instruções maliciosas.
- A Microsoft mitigou o problema no backend; por ser serviço gerenciado, clientes não precisam aplicar patch, mas devem reforçar monitoramento e governança de dados.
Uma falha identificada na plataforma Microsoft 365 Copilot pode expor e-mails, arquivos, convites de calendário e até códigos de autenticação com apenas um clique em um link legítimo da Microsoft. A vulnerabilidade foi descoberta pelos pesquisadores da Varonis Threat Labs, que a batizaram de SearchLeak. A Microsoft classificou o problema como crítico, associado à CVE-2026-42824, e informou que já mitigou o problema no backend.
O ataque não exige que a vítima digite senha, aprove recursos adicionais ou realize ações complexas. Ele explora três fraquezas combinadas, transformando uma consulta do Copilot Enterprise Search em uma rota de exfiltração de dados. O link utilizado pertence a um domínio real da Microsoft, dificultando a detecção por filtros de phishing tradicionais.
Ao clicar, a vítima permanece conectada, e o campo de busca do Copilot pode receber instruções maliciosas sem que haja interrupção perceptível. O problema envolve o parâmetro de busca, que deveria aceitar apenas uma pergunta ou termo, mas passou a aceitar comandos que orientam a IA a buscar informações acessíveis ao usuário logado.
Em seguida, pesquisadores demonstraram que o conteúdo gerado pelo Copilot pode acionar requisições externas antes que as proteções da página neutralizem o código exibido. Isso permitia o envio de partes dos dados encontrados para fora do ambiente corporativo. A Microsoft orienta clientes do Copilot Enterprise a reforçar governança de dados e monitoramento, apesar de o patch ter sido aplicado no backend.
Detalhes técnicos e mitigação
A falha combina a exploração do parâmetro de busca, a execução de código gerado pela IA e a exfiltração de conteúdos sensíveis. A vulnerabilidade foi relacionada ao fluxo de dados entre o Copilot Enterprise Search e serviços de armazenamento de conteúdo corporativo. A Microsoft informou que não houve exploração pública, mas reforçou a necessidade de governança de dados, políticas de acesso e monitoramento contínuo.
Segundo a empresa, o Copilot Enterprise é um serviço gerenciado, o que elimina a necessidade de patches locais por parte dos clientes. Mesmo assim, as organizações devem revisar permissões, logs de acesso e alertas de uso anômalo para reduzir o risco de vazamento. As fontes de segurança ressaltam a importância de práticas de least privilege e segmentação de dados sensíveis.
Entre na conversa da comunidade