SearchLeak: Um Clique Basta para Roubar Seus Dados no Microsoft 365 Copilot

Em junho de 2026, o Varonis Threat Labs revelou uma vulnerabilidade que mais parecia roteiro de filme de espionagem do que um relatório técnico. Batizada de SearchLeak, a cadeia de exploração no Microsoft 365 Copilot Enterprise Search conseguia extrair os dados mais sensíveis de um usuário — e-mails, códigos de autenticação multifator (MFA), links de redefinição de senha e arquivos indexados — com nada mais do que um único clique em um link legítimo do domínio microsoft.com . Sem formulário de senha, sem segundo clique, sem comando explícito. O ataque era invisível para filtros antiphishing justamente por estar hospedado no próprio domínio da Microsoft .

Registrada como CVE-2026-42824 com severidade "crítica" pela Microsoft, a falha foi corrigida no lado do servidor antes que qualquer exploração real fosse detectada. Os clientes não precisaram fazer nada . Mas a verdadeira história não é a correção em si — é a engenhosa cadeia de três estágios que a tornou possível, e o que ela revela sobre como proteger ferramentas empresariais que agora são turbinadas por IA.

Por que o SearchLeak é Importante

O SearchLeak não era um único bug catastrófico. Era uma corrente de três fragilidades menores, cada uma explorada cuidadosamente em sequência. Sozinhas, nenhuma delas seria uma crise. Juntas, formavam um duto de exfiltração silencioso e de um clique, capaz de alcançar tudo o que o usuário autenticado podia acessar via Microsoft Graph: e-mails, convites de calendário, notas de reunião, documentos do SharePoint e arquivos do OneDrive .

Crucialmente, ele destacou um padrão sobre o qual pesquisadores de segurança já vinham alertando. Em janeiro de 2026, o mesmo laboratório da Varonis divulgou o Reprompt, um ataque quase idêntico de um clique contra o Copilot Personal, voltado para o consumidor final . Ainda antes, em junho de 2025, a Aim Security havia revelado o EchoLeak, uma vulnerabilidade de zero clique que usava uma injeção de prompt embutida em um documento malicioso . A chegada do SearchLeak provou que as barreiras de proteção em nível empresarial não eliminaram essa classe de risco — apenas exigiram que os atacantes fossem mais criativos.

A Cadeia de Três Bugs

Cada elo da corrente do SearchLeak é instrutivo por si só, mas é o seu efeito combinado que tornou o ataque tão potente.

Estágio 1: Injeção de Parâmetro para Prompt (P2P)

O Copilot Enterprise Search aceita um parâmetro de URL — q — que contém a consulta em linguagem natural do usuário. Os pesquisadores da Varonis descobriram que o parâmetro não aceitava apenas uma frase de busca; ele aceitava instruções de prompt arbitrárias .

Um atacante podia criar uma URL que, quando carregada por um usuário autenticado, instruía o Copilot a fazer algo totalmente diferente do que o link aparentava. Por exemplo, um link podia mandar a IA vasculhar a caixa de entrada da vítima por um código MFA de uso único, incorporar esse código em uma URL de imagem e anexá-la à resposta. A vítima via uma página de busca com a marca Microsoft. O Copilot obedecia ao comando injetado silenciosamente .

Essa técnica, que a Varonis chama de injeção de Parâmetro para Prompt (P2P), era o mesmo mecanismo no centro do ataque anterior, Reprompt, contra o Copilot Personal .

Estágio 2: Uma Condição de Corrida que Burlava a Sanitização

Quando o Copilot gera uma saída que inclui marcação HTML (como uma tag <img>), um sanitizador do lado do servidor deve envolver essa saída em blocos de código para que o navegador a trate como texto puro e inofensivo. O problema? Esse encapsulamento só acontece depois que o conteúdo é totalmente gerado .

O navegador, no entanto, começa a renderizar a resposta enquanto ela ainda está sendo transmitida. Uma tag <img> injetada pelo atacante, portanto, dispara sua requisição assim que aparece no fluxo de dados — antes mesmo de o sanitizador ser executado. Quando o bloco de código aparecia na tela, a URL da imagem já havia sido solicitada, e o dado codificado em seu caminho já tinha saído do navegador da vítima .

Isso é uma condição de corrida clássica que se torna letal no contexto de conteúdo gerado por IA. Um mecanismo de defesa mais antigo não foi reprojetado para um mundo onde a própria saída da IA está sob controle do atacante.

Estágio 3: Exfiltração por Meio de um Ponto de Extremidade do Bing na Lista de Permissões da CSP

Mesmo com os dois estágios anteriores funcionando, uma barreira final existia: a Política de Segurança de Conteúdo (CSP) no domínio m365.cloud.microsoft bloqueia imagens de servidores externos arbitrários. No entanto, *.bing.com está na lista de permissões .

O endpoint de "Pesquisa por Imagem" do Bing permite que uma URL seja buscada pelo lado do servidor. No exploit do SearchLeak, o atacante anexava os dados roubados como parte do caminho da pesquisa de imagem (ex.:

https://www.bing.com/images/search?q=/Seu_Codigo_de_Seguranca_847291/img.png

O atacante simplesmente monitorava os logs de seu próprio endpoint de imagem, que o servidor do Bing havia sido induzido a acessar.

A Simplicidade Enganosa de um Único Clique

Toda a cadeia era executada automaticamente. A vítima clicava em um link. O Copilot pesquisava seus próprios dados. A saída era transmitida para o navegador. Uma tag <img> disparava. O servidor do Bing buscava a URL do atacante. Os dados eram exfiltrados. Tudo isso acontecia antes que o navegador do usuário terminasse de renderizar a página.

O ataque era difícil de detectar porque:

• A URL estava em um domínio confiável da Microsoft, driblando scanners de URL e verificações de reputação .
• Nenhuma caixa de diálogo de autenticação ou segundo clique era acionado — a sessão existente da vítima era usada.
• Todas as requisições externas iam para a infraestrutura da Microsoft, que estava na lista de permissões.

Os dados que podiam ser roubados não eram teóricos. Os pesquisadores destacaram códigos MFA de uso único e links de redefinição de senha, que permanecem válidos por minutos, além de detalhes de calendário e documentos sensíveis indexados pelo Copilot .

O Enigma da Gravidade: Crítica, mas com Qual Pontuação?

A CVE-2026-42824 gerou um breve debate sobre as classificações de gravidade. A Microsoft atribuiu à vulnerabilidade seu mais alto selo interno de severidade — Crítica — mas emitiu uma pontuação base CVSS v3.1 de 6.5 (Média). A justificativa: o ataque exigia interação do usuário (o clique único), o que reduzia a pontuação .

Algumas fontes relataram uma pontuação 7.5 (Alta) do National Vulnerability Database (NVD) . Na prática, no entanto, várias análises, incluindo a do TNW, observaram que tanto o registro CSAF da Microsoft quanto a entrada do NVD refletiam um vetor idêntico de 6.5 . A percepção de uma pontuação mais alta pode ter vindo de analistas independentes calculando sob premissas de impacto mais amplas ou ecoando reportagens iniciais.

Independentemente do número, o consenso era claro: um único clique podia expor os dados mais sensíveis de uma organização.

A Linhagem de Vulnerabilidades do Copilot

O SearchLeak não surgiu no vácuo. Ele se juntou a duas outras descobertas marcantes de exfiltração por IA:

• EchoLeak (CVE-2025-32711) — Junho de 2025. Uma vulnerabilidade de zero clique da Aim Security que usava uma injeção de prompt embutida em um documento que o Copilot processava automaticamente. Nenhuma interação do usuário era necessária. CVSS 9.3 .
• Reprompt — Janeiro de 2026. A Varonis mostrou que o Copilot Personal, voltado para o consumidor, podia ser sequestrado com a mesma técnica de injeção P2P. Sem malware, sem plugin, apenas uma URL manipulada .

O fio condutor é a injeção de prompt, uma ameaça que transforma a capacidade principal da IA — seguir instruções — em uma superfície de ataque. Cada vulnerabilidade subsequente mostrou que corrigir uma superfície (Consumidor vs. Empresarial) ou adicionar barreiras de proteção (processamento de documentos vs. consultas de pesquisa) não elimina a classe; apenas redireciona a criatividade do atacante .

O que os Administradores de TI Devem Fazer Agora

O SearchLeak em si já foi corrigido e não requer nenhuma ação do cliente. Mas a técnica não vai desaparecer, e as equipes de segurança devem colocar as lições em prática.

Monitore URLs de Pesquisa do Copilot. O parâmetro q ainda está exposto. Procure por HTML codificado, cargas úteis semelhantes a scripts ou strings de instrução suspeitamente longas nas URLs do Copilot Enterprise Search que passam pelos seus logs de proxy .

Fique atento a requisições externas anômalas para endpoints de imagem do Bing. Um usuário gerando, de repente, múltiplas requisições para *.bing.com com caminhos de pesquisa de imagem incomuns — especialmente padrões que se assemelham a dados codificados ou exfiltrados — deve disparar alarmes .

Limite a superfície indexada pelo Copilot. Pratique a governança de dados com o princípio do menor privilégio. Restrinja quais sites do SharePoint, pastas do OneDrive e caixas de entrada o Copilot pode indexar, para que uma vulnerabilidade futura não signifique o roubo de tudo o que o usuário pode acessar. Audite e reduza regularmente as permissões do Microsoft Graph para o Copilot .

A divulgação do SearchLeak não foi uma história sobre uma única correção, mas um alerta sobre a interseção em evolução entre a injeção de prompt e vulnerabilidades web clássicas. À medida que as organizações adotam copilotos de IA com acesso profundo aos seus dados, os modelos de segurança que tratam a saída da IA como conteúdo confiável precisam ser reconsiderados. A próxima cadeia não usará os mesmos três bugs — mas quase certamente reutilizará o mesmo padrão.