AIO APEX
Security

Investigadores convierten Microsoft 365 Copilot en una herramienta de robo de correos y documentos con un solo clic

BleepingComputer
Compartir:
Investigadores convierten Microsoft 365 Copilot en una herramienta de robo de correos y documentos con un solo clic

Investigadores de seguridad de Varonis revelaron el 15 de junio una cadena de vulnerabilidades críticas en Microsoft 365 Copilot Enterprise Search que permitía a los atacantes robar correos electrónicos, eventos de calendario, contraseñas almacenadas en el correo y documentos de SharePoint usando simplemente un enlace malicioso. Microsoft, que clasificó la falla CVE-2026-42824 como Crítica y la parcheó a principios de junio de 2026, confirmó que la técnica funcionaba en silencio: las víctimas no veían indicación alguna de que sus datos estaban siendo recolectados.

Varonis denominó al ataque "SearchLeak". Encadena tres debilidades distintas en una única ruta de exfiltración automatizada que evita tanto la saneación de contenido de Microsoft como sus protecciones de Política de Seguridad de Contenido. Según informó BleepingComputer, no se ha identificado explotación activa, pero la técnica es lo suficientemente directa como para que la explotación antes del parche fuera plausible.

Cómo funciona la cadena de ataque de tres etapas

El ataque comienza con una URL. Un atacante envía a la víctima un enlace — incrustado en un correo de phishing, un mensaje de Slack o un chat de Teams — que apunta a la búsqueda de Copilot de Microsoft 365 con un parámetro de consulta diseñado. Esa consulta instruye a la IA de Copilot para buscar en los correos del usuario y extraer contenido específico, como códigos de acceso o detalles de reuniones, y luego incrustar ese contenido en una URL de imagen saliente.

La segunda etapa explota una condición de carrera (race condition) en cómo Copilot renderiza HTML durante la transmisión. Antes de que la capa de saneación de Microsoft pueda eliminar etiquetas peligrosas, un elemento <img> en la salida sin procesar se activa — realizando una solicitud HTTP saliente que lleva los datos robados en los parámetros de la URL. Esto ocurre en milisegundos, antes de que el usuario vea algo inusual.

La tercera etapa evita la Política de Seguridad de Contenido de Copilot, que debería bloquear solicitudes salientes a servidores desconocidos. Varonis descubrió que podían canalizar la exfiltración a través de la función "Búsqueda por imagen" de Bing — un servicio de Microsoft de confianza con el que Copilot tiene permitido contactar. Los datos robados llegan al servidor del atacante después de haber pasado por la infraestructura de Microsoft todo el tiempo.

Qué datos estaban en riesgo

A través de un único enlace diseñado, la cadena podía extraer prácticamente cualquier contenido accesible para la licencia de Copilot Enterprise del usuario: cuerpos de correos (incluyendo códigos de un solo uso, enlaces de restablecimiento de contraseña y credenciales internas compartidas por correo), eventos de calendario con asistentes y contenido de reuniones, documentos de SharePoint y OneDrive, y cualquier otra cosa indexada en la Búsqueda Empresarial. El alcance se determina por lo que se le instruye a la IA buscar — un atacante podría apuntar a palabras clave específicas, correos recientes o tipos de archivos nombrados.

La naturaleza silenciosa del ataque es lo que lo hace particularmente preocupante. A diferencia del XSS basado en navegador, no hay redirección visible, cambio de página ni error. Una víctima que hace clic en un enlace en un correo de phishing simplemente vería un resultado de búsqueda normal de Copilot — mientras sus datos salían del edificio en segundo plano.

El patrón más amplio: la IA como superficie de ataque

SearchLeak sigue un patrón creciente de investigadores que descubren que las herramientas de IA empresarial introducen nuevas superficies de ataque que no encajan perfectamente en las defensas existentes. La inyección de Prompt (Prompt Injection) — la técnica en la primera etapa de esta cadena — no es una vulnerabilidad de código tradicional. Explota el hecho de que los asistentes de IA aceptan instrucciones en lenguaje natural, y una instrucción controlada por el atacante (incrustada en un parámetro de URL) se interpreta de la misma manera que una solicitud legítima de usuario.

Microsoft se ha enfrentado a divulgaciones similares en Copilot for Microsoft 365, Azure OpenAI Service y Bing Chat en los últimos 18 meses. El hilo común: la saneación de contenido y las políticas de seguridad diseñadas para páginas web no se extienden automáticamente a la salida generada por IA, que puede incluir HTML, enlaces incrustados y solicitudes de recursos externos producidos por el propio modelo en lugar del autor de la página.

Mitigación

Microsoft parcheó CVE-2026-42824 del lado del servidor a principios de junio de 2026 como parte de una actualización más amplia del servicio Copilot, con la corrección llegando a todos los clientes antes de la divulgación pública. No se requiere ninguna acción por parte del usuario ni actualización del cliente. Las organizaciones que usan Microsoft 365 Copilot Enterprise deben confirmar que están en una versión del servicio posterior a junio, y los equipos de seguridad deben revisar si existen riesgos similares de inyección de parámetros en cualquier herramienta de IA interna que acepte parámetros de consulta basados en URL.

enterprise-securityCopilot+prompt injectionmicrosoft-365cve-2026-42824varonisdata-exfiltration

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartir: