Falha no Microsoft 365 Copilot poderia vazar e-mails e arquivos

Uma falha no Microsoft 365 Copilot poderia permitir o vazamento de e-mails, arquivos, convites de calendário e até códigos temporários de autenticação a partir de um único clique em um link legítimo da Microsoft.

A vulnerabilidade foi identificada por pesquisadores da Varonis Threat Labs e recebeu o nome de SearchLeak.

O problema combina três fraquezas diferentes para transformar uma consulta do Copilot Enterprise Search em um caminho de exfiltração de dados.

O ataque começava com um link para um domínio real da Microsoft, o que tornava a detecção por filtros tradicionais de phishing mais difícil.

Ao clicar, a vítima não precisava digitar senha, aprovar solicitação ou realizar uma segunda ação.

A falha explorava o parâmetro de busca do Copilot, que deveria receber apenas uma pergunta ou termo de pesquisa.

Em vez disso, o campo podia ser usado para inserir instruções maliciosas, fazendo a IA procurar informações acessíveis ao usuário conectado.

Em seguida, os pesquisadores demonstraram uma forma de fazer o conteúdo gerado pelo Copilot acionar uma requisição externa antes que as proteções da página neutralizassem o código exibido.

Isso permitia enviar partes dos dados encontrados para fora do ambiente.

A Microsoft classificou a falha como crítica, associada à CVE-2026-42824, e informou que mitigou o problema no backend.

Como o Copilot Enterprise é um serviço gerenciado, clientes não precisam aplicar patch local, mas devem reforçar monitoramento e governança de dados.

Leia mais na mesma categoria:

NotíciasVazamentosVulnerabilidades