Falha no Copilot 365 expõe e-mails com apenas um clique
Vulnerabilidade SearchLeak no Microsoft 365 Copilot
A vulnerabilidade crítica conhecida como SearchLeak, identificada como CVE-2026-42824, permitia que criminosos acessassem e-mails, arquivos do SharePoint, documentos do OneDrive e códigos de autenticação multifator (MFA) com um único clique em um link malicioso. Descoberta pelo Varonis Threat Labs e corrigida pela Microsoft em junho de 2026, a falha não exigiu ação dos usuários para ser resolvida.
Classificada como crítica, a SearchLeak abalou a confiança em ferramentas de inteligência artificial corporativa. Com uma pontuação CVSS de 9.0, a vulnerabilidade possibilitava a exfiltração silenciosa de dados sensíveis, sendo corrigida no backend durante o Patch Tuesday.
Funcionamento da Vulnerabilidade SearchLeak
A SearchLeak foi descoberta pelo pesquisador Dolev Taler e explorava o parâmetro ‘q’ da URL do Copilot Enterprise Search para injetar instruções maliciosas no modelo de linguagem, uma técnica conhecida como P2P Injection. Embora a falha isoladamente representasse um risco limitado, a combinação de três fraquezas independentes a tornava extremamente perigosa.
Além da injeção de parâmetro, o ataque se beneficiava de uma condição de corrida na renderização HTML e um bypass da Content Security Policy (CSP) via SSRF do Bing. Isso permitia que, em uma única interação, o atacante acessasse informações críticas sem necessidade de permissões elevadas ou cliques adicionais da vítima.
Características Distintivas do Ataque
Os ataques a assistentes de IA corporativos, como o Microsoft 365 Copilot, representam uma nova categoria de ameaça. O SearchLeak exemplifica essa sofisticação, pois a ferramenta tem acesso profundo a dados sensíveis, como e-mails e arquivos. Essa integração, que aumenta a produtividade, também amplia a superfície de ataque.
Leia também
A combinação de técnicas de injeção de prompt com falhas web clássicas demonstra que os invasores estão unindo métodos tradicionais de segurança com as particularidades dos sistemas baseados em LLMs. O encadeamento das fraquezas transforma problemas individuais de baixo impacto em uma cadeia de exploração capaz de comprometer dados críticos.
Impactos Regulatórios e Estratégicos para TI
O incidente levanta questões além do aspecto técnico. Organizações sob regulamentações como GDPR, HIPAA ou LGPD devem avaliar se os dados acessíveis pelo Microsoft 365 Copilot estavam adequadamente protegidos durante a vulnerabilidade e se acessos não autorizados precisam ser reportados às autoridades competentes.
A Microsoft confirmou que não há evidências de exploração ativa antes da correção, mas a existência de uma vulnerabilidade com CVSS 9.0 em uma ferramenta com acesso irrestrito a dados sensíveis justifica uma revisão das posturas de segurança. O relatório BeyondTrust de 2025 já indicava um ambiente hostil, com um aumento significativo de vulnerabilidades divulgadas.
Implicações para a Estratégia de Segurança Corporativa
O episódio do SearchLeak destaca a necessidade de revisar as práticas de segurança na adoção de assistentes de IA. Ferramentas como o Microsoft 365 Copilot operam com níveis de privilégio que exigem uma abordagem de segurança mais rigorosa, como arquiteturas de zero-trust, que limitam o acesso ao mínimo necessário.
Medidas como auditorias regulares de permissões, revisão de grupos acessíveis e monitoramento contínuo de padrões anômalos devem ser incorporadas imediatamente pelas equipes de TI. Embora a correção da Microsoft tenha encerrado o risco imediato, o debate sobre como governar e proteger sistemas de IA no ambiente corporativo está apenas começando.
Fonte por: Its Show
Autor(a):
Redação
Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real
