Pesquisadores da Varonis, uma empresa de segurança corporativa, desenvolveram um esquema chamado SearchLeak, que lhes permite roubar dados corporativos explorando o Microsoft 365 Copilot, peculiaridades do navegador e até mesmo o mecanismo de busca Bing, que é usado como proxy.
Fonte da imagem: varonis.com
A Microsoft corrigiu as vulnerabilidades que permitiam a exploração do SearchLeak, atribuindo-lhe a classificação de vulnerabilidade CVE-2026-42824 e uma classificação de gravidade crítica. O SearchLeak combina três vulnerabilidades, cada uma delas insuficiente para roubar dados. Ao contrário do Copilot para consumidores, o Microsoft Copilot Enterprise Search pesquisa dados corporativos: e-mails, atas de reuniões, arquivos do SharePoint e OneDrive.
O ataque começa com o envio de um link para o endereço da vítima em potencial. O parâmetro “q” especifica instruções maliciosas para o Copilot procurar dados corporativos confidenciais e enviá-los nos parâmetros de uma URL de imagem falsa. A vítima simplesmente clica nessa URL e o Copilot encontra automaticamente as informações confidenciais para o atacante e as envia. Os dados roubados são então inseridos na URL da imagem na tag .
— quando são exibidos, o código HTML é fornecido dentro das tags
, mas não imediatamente. Em algum momento antes da exibição do código, ele é executado no navegador. Para evitar que o navegador bloqueie essa solicitação, ela é realizada por meio de uma pesquisa de imagens do Bing, o que significa que o serviço de busca se torna um intermediário para o roubo de dados. O invasor então armazena os dados em seu próprio servidor por meio dos parâmetros que lê.Do ponto de vista da vítima, o Copilot simplesmente “pensa” por um tempo, e ela não percebe nenhum sinal de roubo de dados. Como a Microsoft corrigiu a vulnerabilidade CVE-2026-42824, os usuários não precisam tomar nenhuma providência para mitigar a ameaça.