A falha no Microsoft 365 Copilot voltou a colocar em evidência os riscos de segurança em ferramentas de inteligência artificial corporativa, especialmente quando integradas a ecossistemas de nuvem complexos. Pesquisadores do Varonis Threat Labs revelaram uma vulnerabilidade crítica que permitia o roubo de dados com apenas um clique, sem necessidade de credenciais adicionais ou exploração sofisticada por parte do atacante. O problema, batizado de SearchLeak e catalogado como CVE-2026-42824, expôs como pequenas falhas em parâmetros de URL podem se transformar em vetores de ataque de alto impacto. A descoberta acende um alerta sobre como assistentes como o Copilot dependem profundamente de serviços como o Microsoft Graph e do ecossistema Bing.
Segundo a análise, a vulnerabilidade no Copilot explorava a combinação entre injeção de instruções em linguagem natural e falhas de sanitização de entrada em endpoints web. O resultado era um cenário em que um simples clique em um link aparentemente legítimo poderia redirecionar o assistente para buscar e exfiltrar dados sensíveis do usuário. O caso reforça como a vulnerabilidade no Copilot não está apenas na IA em si, mas na forma como ela interage com APIs, navegadores e serviços externos.
Além do impacto técnico, a descoberta evidencia um problema estrutural: a crescente superfície de ataque criada pela integração de IA generativa com sistemas legados. A Microsoft já foi notificada e aplicou mitigação em nível de serviço, mas a discussão sobre governança e controle de permissões no Microsoft 365 Copilot permanece aberta. Administradores de TI agora precisam reavaliar políticas de acesso e autenticação multifator em ambientes corporativos.
O que é o ataque SearchLeak
O ataque SearchLeak é uma técnica de exploração que combina injeção de parâmetros em URLs com manipulação de respostas de assistentes de IA integrados ao navegador. Na prática, o atacante cria um link especialmente construído que injeta instruções no parâmetro “q”, usado pelo Copilot para realizar consultas internas. Quando o usuário clica no link, o sistema interpreta essas instruções como parte legítima da consulta, desencadeando ações automatizadas de busca e extração de dados.
O diferencial da falha no Microsoft 365 Copilot é que o ataque não depende de execução de código local ou phishing tradicional. Em vez disso, ele se apoia na confiança entre serviços conectados, explorando como o assistente processa entradas externas sem validação robusta. Isso transforma um simples clique em uma possível porta de entrada para vazamento de informações corporativas sensíveis.
Injeção de parâmetro para prompt
Na base do problema está a injeção de parâmetro para prompt, onde o campo “q” da URL do Copilot aceita conteúdo que vai além de uma simples consulta de pesquisa. Os pesquisadores do Varonis Threat Labs demonstraram que era possível inserir comandos em linguagem natural dentro desse parâmetro, alterando o comportamento do assistente. Essa técnica é especialmente perigosa porque mistura lógica de busca com instruções de IA dentro da mesma requisição.
Na prática, isso significa que um atacante pode induzir o sistema a interpretar instruções maliciosas como parte do contexto legítimo do usuário. Essa vulnerabilidade no Copilot é difícil de detectar, pois não gera erros visíveis e pode parecer apenas uma busca normal aos olhos da vítima.
A quebra da proteção e o papel do Bing
O segundo componente crítico envolve a quebra das camadas de proteção, incluindo o sanitizador HTML e as políticas de segurança de conteúdo (CSP). A falha permitia que o fluxo de dados passasse por endpoints do Bing, usados como proxy para requisições de imagem e conteúdo, contornando restrições de origem.
Esse comportamento criava uma condição de corrida entre a sanitização e a renderização da resposta, permitindo que dados fossem injetados antes da aplicação completa das regras de segurança. O resultado era uma cadeia explorável que conectava o Copilot ao ecossistema de busca da Microsoft de forma não prevista no modelo de ameaça.
Falha no Microsoft 365 Copilot e o perigo real: o que os invasores poderiam roubar
O impacto da falha no Microsoft 365 Copilot vai muito além de simples vazamento de dados. A integração com o Microsoft Graph permite acesso a uma vasta quantidade de informações corporativas, incluindo e-mails, calendários, arquivos e mensagens instantâneas.
Durante a exploração, pesquisadores demonstraram que era possível capturar códigos de autenticação multifator (MFA) presentes em e-mails ou mensagens, além de documentos armazenados no SharePoint e OneDrive. Isso cria um cenário em que o atacante pode não apenas ler informações, mas também se mover lateralmente dentro da organização.
O risco aumenta porque esses dados são acessados em tempo real, o que significa que o atacante não precisa persistir no sistema por longos períodos. Em ambientes corporativos, isso representa uma ameaça crítica à confidencialidade e à integridade das operações.
Correção e recomendações de segurança
A Microsoft informou que a vulnerabilidade CVE-2026-42824 foi mitigada como parte de atualizações no serviço em nuvem, o que impede a exploração direta do vetor SearchLeak. Como se trata de uma arquitetura SaaS, a correção foi aplicada centralmente, sem necessidade de ação imediata do usuário final.
No entanto, especialistas recomendam que administradores revisem permissões do Microsoft 365 Copilot, especialmente integrações com terceiros e escopos de acesso ao Microsoft Graph. A adoção de políticas de menor privilégio e monitoramento contínuo de atividades também é essencial para reduzir riscos futuros relacionados ao Copilot Enterprise.
Mesmo com a correção, o caso reforça a importância de auditorias constantes em sistemas de IA corporativa, que estão cada vez mais integrados a dados sensíveis e fluxos de trabalho críticos.
Profissionais de TI devem tratar esse tipo de incidente como um alerta sobre a evolução das ameaças, onde a superfície de ataque não está apenas no código, mas também na interação entre serviços conectados.
