O Microsoft 365 Copilot foi usado para roubar dados corporativos em um esquema sofisticado.

Pesquisadores da Varonis, uma empresa de segurança corporativa, desenvolveram um esquema chamado SearchLeak, que lhes permite roubar dados corporativos explorando o Microsoft 365 Copilot, peculiaridades do navegador e até mesmo o mecanismo de busca Bing, que é usado como proxy.

Fonte da imagem: varonis.com

A Microsoft corrigiu as vulnerabilidades que permitiam a exploração do SearchLeak, atribuindo-lhe a classificação de vulnerabilidade CVE-2026-42824 e uma classificação de gravidade crítica. O SearchLeak combina três vulnerabilidades, cada uma delas insuficiente para roubar dados. Ao contrário do Copilot para consumidores, o Microsoft Copilot Enterprise Search pesquisa dados corporativos: e-mails, atas de reuniões, arquivos do SharePoint e OneDrive.

O ataque começa com o envio de um link para o endereço da vítima em potencial. O parâmetro “q” especifica instruções maliciosas para o Copilot procurar dados corporativos confidenciais e enviá-los nos parâmetros de uma URL de imagem falsa. A vítima simplesmente clica nessa URL e o Copilot encontra automaticamente as informações confidenciais para o atacante e as envia. Os dados roubados são então inseridos na URL da imagem na tag .

— quando são exibidos, o código HTML é fornecido dentro das tags

, mas não imediatamente. Em algum momento antes da exibição do código, ele é executado no navegador. Para evitar que o navegador bloqueie essa solicitação, ela é realizada por meio de uma pesquisa de imagens do Bing, o que significa que o serviço de busca se torna um intermediário para o roubo de dados. O invasor então armazena os dados em seu próprio servidor por meio dos parâmetros que lê.

Do ponto de vista da vítima, o Copilot simplesmente “pensa” por um tempo, e ela não percebe nenhum sinal de roubo de dados. Como a Microsoft corrigiu a vulnerabilidade CVE-2026-42824, os usuários não precisam tomar nenhuma providência para mitigar a ameaça.