AIO APEX
Security

Pesquisadores transformam Microsoft 365 Copilot em uma ferramenta de roubo de e-mails e documentos com um clique

BleepingComputer
Compartilhar:
Pesquisadores transformam Microsoft 365 Copilot em uma ferramenta de roubo de e-mails e documentos com um clique

Pesquisadores de segurança da Varonis divulgaram em 15 de junho uma cadeia de vulnerabilidades críticas no Microsoft 365 Copilot Enterprise Search que permitia a atacantes roubar e-mails, eventos de calendário, senhas armazenadas em e-mails e documentos do SharePoint usando apenas um link malicioso. A Microsoft, que classificou a falha CVE-2026-42824 como Crítica e a corrigiu no início de junho de 2026, confirmou que a técnica funcionava silenciosamente — as vítimas não viam nenhuma indicação de que seus dados estavam sendo coletados.

A Varonis nomeou o ataque de "SearchLeak". Ele encadeia três fraquezas distintas em um único caminho de exfiltração automatizada que contorna tanto a sanitização de conteúdo da Microsoft quanto suas proteções de Política de Segurança de Conteúdo. Conforme relatado pelo BleepingComputer, nenhuma exploração ativa foi identificada, mas a técnica é simples o suficiente para que a exploração antes da correção fosse plausível.

Como funciona a cadeia de ataque de três estágios

O ataque começa com uma URL. Um atacante envia à vítima um link — incorporado em um e-mail de phishing, mensagem do Slack ou chat do Teams — que aponta para a pesquisa do Copilot do Microsoft 365 com um parâmetro de consulta manipulado. Essa consulta instrui a IA do Copilot a pesquisar os e-mails do usuário e extrair conteúdo específico, como códigos de acesso ou detalhes de reuniões, e então incorporar esse conteúdo em uma URL de imagem de saída.

O segundo estágio explora uma condição de corrida (race condition) em como o Copilot renderiza HTML durante o streaming. Antes que a camada de sanitização da Microsoft possa remover tags perigosas, um elemento <img> na saída bruta é acionado — fazendo uma requisição HTTP de saída carregando os dados roubados nos parâmetros da URL. Isso acontece em milissegundos, antes que o usuário veja algo incomum.

O terceiro estágio contorna a Política de Segurança de Conteúdo do Copilot, que deveria bloquear requisições de saída para servidores desconhecidos. A Varonis descobriu que podia rotear a exfiltração através do recurso "Pesquisar por imagem" do Bing — um serviço confiável da Microsoft com o qual o Copilot tem permissão de contatar. Os dados roubados chegam ao servidor do atacante tendo passado pela infraestrutura da Microsoft o tempo todo.

Quais dados estavam em risco

Através de um único link manipulado, a cadeia podia extrair praticamente qualquer conteúdo acessível à licença Copilot Enterprise do usuário: corpos de e-mails (incluindo códigos de uso único, links de redefinição de senha e credenciais internas compartilhadas por e-mail), eventos de calendário com participantes e conteúdo de reuniões, documentos do SharePoint e OneDrive, e qualquer outra coisa indexada na Pesquisa Empresarial. O escopo é determinado pelo que a IA é instruída a pesquisar — um atacante poderia segmentar palavras-chave específicas, e-mails recentes ou tipos de arquivos nomeados.

A natureza silenciosa do ataque é o que o torna particularmente preocupante. Diferente do XSS baseado em navegador, não há redirecionamento visível, mudança de página ou erro. Uma vítima que clica em um link em um e-mail de phishing simplesmente veria um resultado de pesquisa normal do Copilot — enquanto seus dados estavam saindo do prédio em segundo plano.

O padrão mais amplo: IA como superfície de ataque

O SearchLeak segue um padrão crescente de pesquisadores descobrindo que ferramentas de IA empresarial introduzem novas superfícies de ataque que não se encaixam perfeitamente nas defesas existentes. A injeção de Prompt (Prompt Injection) — a técnica no primeiro estágio desta cadeia — não é uma vulnerabilidade de código tradicional. Ela explora o fato de que assistentes de IA aceitam instruções em linguagem natural, e uma instrução controlada pelo atacante (incorporada em um parâmetro de URL) é interpretada da mesma forma que uma solicitação legítima de usuário.

A Microsoft enfrentou divulgações semelhantes no Copilot for Microsoft 365, no Azure OpenAI Service e no Bing Chat nos últimos 18 meses. O fio comum: a sanitização de conteúdo e as políticas de segurança projetadas para páginas da web não se estendem automaticamente à saída gerada por IA, que pode incluir HTML, links incorporados e requisições de recursos externos produzidos pelo próprio modelo, em vez do autor da página.

Mitigação

A Microsoft corrigiu o CVE-2026-42824 no lado do servidor no início de junho de 2026 como parte de uma atualização mais ampla do serviço Copilot, com a correção alcançando todos os clientes antes da divulgação pública. Nenhuma ação do usuário ou atualização do cliente é necessária. Organizações que usam o Microsoft 365 Copilot Enterprise devem confirmar que estão em uma versão do serviço posterior a junho, e as equipes de segurança devem revisar se riscos semelhantes de injeção de parâmetros existem em quaisquer ferramentas de IA internas que aceitem parâmetros de consulta baseados em URL.

enterprise-securityCopilot+prompt injectionmicrosoft-365cve-2026-42824varonisdata-exfiltration

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartilhar: