Uma falha no Microsoft 365 Copilot poderia permitir o vazamento de e-mails, arquivos, convites de calendário e até códigos temporários de autenticação a partir de um único clique em um link legítimo da Microsoft.
A vulnerabilidade foi identificada por pesquisadores da Varonis Threat Labs e recebeu o nome de SearchLeak.
O problema combina três fraquezas diferentes para transformar uma consulta do Copilot Enterprise Search em um caminho de exfiltração de dados.
O ataque começava com um link para um domínio real da Microsoft, o que tornava a detecção por filtros tradicionais de phishing mais difícil.
Ao clicar, a vítima não precisava digitar senha, aprovar solicitação ou realizar uma segunda ação.
A falha explorava o parâmetro de busca do Copilot, que deveria receber apenas uma pergunta ou termo de pesquisa.
Em vez disso, o campo podia ser usado para inserir instruções maliciosas, fazendo a IA procurar informações acessíveis ao usuário conectado.
Em seguida, os pesquisadores demonstraram uma forma de fazer o conteúdo gerado pelo Copilot acionar uma requisição externa antes que as proteções da página neutralizassem o código exibido.
Isso permitia enviar partes dos dados encontrados para fora do ambiente.
A Microsoft classificou a falha como crítica, associada à CVE-2026-42824, e informou que mitigou o problema no backend.
Como o Copilot Enterprise é um serviço gerenciado, clientes não precisam aplicar patch local, mas devem reforçar monitoramento e governança de dados.



