Um único clique em um link aparentemente confiável da Microsoft poderia ter permitido que um invasor extraísse e-mails, detalhes de calendário e arquivos indexados do Microsoft 365 Copilot Enterprise Search.
Pesquisadores da Varonis Threat Labs combinaram três falhas em uma cadeia de exfiltração com um clique, batizada de SearchLeak. Como o link apontava para um domínio legítimo microsoft.com, ferramentas tradicionais de antiphishing e filtragem de URL dificilmente teriam identificado a ameaça. Sem prompt, sem senha, sem segundo clique.
A Microsoft atribuiu o identificador
CVE-2026-42824
e classificou a falha como crítica. Os escores CVSS, porém, divergiram, com 6,5 na avaliação da Microsoft e 7,5 no National Vulnerability Database. A empresa corrigiu a falha em seu backend, portanto os clientes não precisam tomar medidas imediatas, e a Varonis apresentou uma prova de conceito, não uma exploração observada em ambiente real.
Pesquisadores da empresa de segurança de dados corporativos Varonis desenvolveram o SearchLeak ao encadear três falhas que, isoladamente, não seriam suficientes para viabilizar um ataque relevante. A combinação envolveu uma injeção de parâmetro em prompt, uma condição de corrida na renderização de HTML e uma falha de desvio da política de segurança de conteúdo, viabilizada por uma SSRF no Bing.
O comunicado da Microsoft descreve a falha como uma injeção de comando capaz de expor informações pela rede. Na prática, o SearchLeak combina uma fraqueza específica de IA com duas falhas antigas da web, e cada etapa depende da anterior.
O ponto de entrada é o parâmetro q na URL do Copilot Enterprise Search. Ele deveria receber uma consulta em linguagem natural, mas o Copilot trata qualquer conteúdo ali como instrução, não apenas como uma string de busca. A Varonis chama isso de injeção de parâmetro no prompt.
O invasor cria uma URL que ordena ao Copilot pesquisar a caixa de entrada, capturar o título de um e-mail e inseri-lo dentro de uma URL de imagem. A vítima não digita nada. Ela apenas clica, e o Copilot faz o resto.
Em seguida, entra em cena uma condição de corrida na forma como a resposta é renderizada. A proteção da Microsoft envolve a saída do Copilot em blocos de `<code>` para que o navegador trate a marcação como texto. O problema está no tempo de execução: a proteção é aplicada depois que o Copilot termina de gerar o conteúdo, mas o navegador renderiza o fluxo à medida que ele chega. A tag `<img>` injetada aparece e dispara sua requisição antes que o sanitizador atue.
Quando a saída é neutralizada, a requisição já foi enviada. A última etapa faz o dado passar pela política de segurança de conteúdo da página, a Content Security Policy. A política em m365.cloud.microsoft bloqueia imagens vindas de domínios arbitrários, mas permite *.bing.com.
O endpoint "Search by Image" do Bing aceita uma URL de imagem e a busca no lado do servidor para analisá-la. Se essa busca apontar para um servidor controlado pelo invasor, com o texto roubado codificado no caminho, o Bing o recupera. A política do navegador não entra em ação, porque a requisição parte da infraestrutura do Bing.
O Bing vira o proxy de exfiltração, e a lista permitida da política serve para ocultar a operação.
Juntando tudo, a vítima clica, o Copilot pesquisa seus dados, a resposta incorpora um valor como o assunto de um e-mail em uma URL de imagem do Bing, o navegador aciona o Bing durante o streaming e o Bing busca a URL do invasor. O criminoso então lê o resultado nos próprios logs, por exemplo, em uma requisição para /Your_Security_Code_847291/img.png.
O Copilot Enterprise consegue acessar tudo o que o usuário autenticado pode ver por meio do Microsoft Graph, e o invasor herda esse alcance sem precisar fazer login. O prêmio mais sensível está na caixa de entrada: códigos de uso único, códigos de MFA e links de redefinição de senha, muitas vezes válidos por apenas alguns minutos. Um script que capture esses dados nos logs enquanto a janela estiver aberta pode assumir uma conta antes que alguém perceba.
Esse mesmo acesso também alcança convites de calendário, notas de reuniões e quaisquer arquivos do SharePoint ou do OneDrive que o Copilot tenha indexado, onde costumam estar dados salariais, números de resultados financeiros e planos de aquisição.
A Varonis destaca que bugs conhecidos e aparentemente fáceis de conter, como SSRF e condições de corrida em injeção de HTML, agora podem ser transformados em ataques potentes quando há possibilidade de injeção de prompt. O SearchLeak é a segunda vez que a empresa demonstra esse padrão. O pesquisador Dolev Taler já havia mostrado a mesma técnica de um clique em um ataque anterior chamado Reprompt contra o Copilot Personal, e a abordagem continuou válida no Enterprise Search, apesar das camadas extras de proteção que essa modalidade deveria impor. O mesmo padrão apareceu no EchoLeak (
CVE-2025-32711
), a falha de vazamento de dados do Copilot sem clique que a Aim Security divulgou em 2025.
A Microsoft mitigou a falha em seu backend e, como o Copilot Enterprise é um serviço gerenciado, administradores de tenant não podem corrigir nem reconfigurar os componentes que falharam. O que eles podem fazer é monitorar e conter. Vale procurar URLs do Copilot Search com payloads codificados ou HTML no parâmetro q, além de requisições de saída incomuns para os endpoints de imagem do Bing. Também é importante reforçar a governança de acesso a dados para que o Copilot indexe menos informações, reduzindo o alcance de qualquer vazamento futuro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...