Pesquisadores encadearam injeção de parâmetro em prompt, condição de corrida na sanitização e abuso do Bing para extrair e-mails, arquivos indexados e códigos MFA via domínio legítimo da Microsoft
| Componente | Microsoft 365 Copilot Enterprise Search em m365.cloud.microsoft, identificado como CVE-2026-42824; fluxo de busca assistida por IA com acesso ao escopo do usuário autenticado via Microsoft Graph |
| Vetor | Clique único em URL legítima da Microsoft com parâmetro q manipulado (Parameter-to-Prompt injection), seguido de condição de corrida na renderização em streaming e requisição indireta ao endpoint Search by Image do Bing para contornar a Content Security Policy da página |
| Impacto | Exposição potencial de assuntos de e-mail, detalhes de calendário, arquivos indexados no SharePoint ou OneDrive e códigos de autenticação multifator ainda válidos; mitigado no backend pela Microsoft sem exploração observada em ambiente real, apenas prova de conceito |
| Prioridade | Auditar URLs do Copilot Search com conteúdo anômalo no parâmetro q, correlacionar saídas para endpoints de imagem do Bing e reduzir a superfície indexada pelo Copilot por meio de governança de acesso a dados |
| Versões | Serviço gerenciado sem patch aplicável pelo administrador do tenant; correção aplicada pela Microsoft na infraestrutura de backend |
| Artefatos | Cadeia SearchLeak; técnica Parameter-to-Prompt injection; padrão semelhante a Reprompt no Copilot Personal e a EchoLeak (CVE-2025-32711) |
| Mitigação | Mitigação centralizada no backend da Microsoft; administradores devem reforçar monitoramento e limitar indexação e permissões que o Copilot herda do usuário |
Pesquisadores do Varonis Threat Labs demonstraram uma cadeia de três falhas no Microsoft 365 Copilot Enterprise Search que, combinadas, formam um caminho de exfiltração acionado por um único clique em um link hospedado em domínio legítimo da Microsoft. A técnica foi denominada SearchLeak e parte da premissa de que filtros tradicionais de anti-phishing e bloqueio de URL tendem a confiar em endereços sob microsoft.com, reduzindo a fricção para a vítima.
A Microsoft classificou a falha como CVE-2026-42824, com severidade crítica em seu próprio parecer, embora as pontuações CVSS divergissem entre a empresa (6,5) e o National Vulnerability Database (7,5). O advisory oficial descreve a vulnerabilidade como injeção de comando capaz de expor informação pela rede. A organização informou ter aplicado mitigação no backend do serviço gerenciado; não há registro de exploração ativa em produção, apenas uma prova de conceito apresentada pelos pesquisadores.
O ataque não exige que a vítima digite consultas, forneça senha ou realize um segundo clique. O ponto de entrada é o parâmetro q na URL do Copilot Enterprise Search, concebido para consultas em linguagem natural, mas interpretado pelo motor de IA como instrução operacional. A partir daí, o Copilot executa buscas no escopo acessível ao usuário autenticado e incorpora dados recuperados em uma URL de imagem do Bing, que por sua vez consulta um servidor controlado pelo adversário. O adversário captura o conteúdo exfiltrado nos logs do próprio endpoint, por exemplo quando o caminho da requisição reflete o assunto de um e-mail sensível.
O impacto mais sensível concentra-se na caixa de entrada: códigos de uso único, tokens de autenticação multifator e links de redefinição de senha costumam permanecer válidos por poucos minutos, abrindo janela para tomada de conta se automatizada. O mesmo acesso estende-se a convites de calendário, notas de reunião e documentos corporativos indexados pelo Copilot, incluindo material financeiro ou estratégico armazenado em SharePoint ou OneDrive. Este é o segundo caso documentado pelo Varonis com o mesmo padrão de um clique; anteriormente, o pesquisador Dolev Taler havia demonstrado a técnica Reprompt contra o Copilot Personal, e falhas correlatas já haviam sido discutidas no contexto do EchoLeak (CVE-2025-32711), divulgado em 2025 pela Aim Security.
A primeira etapa da cadeia é a Parameter-to-Prompt injection. O adversário constrói uma URL do Enterprise Search em que o valor do parâmetro q não funciona apenas como string de busca, mas como comando para o Copilot: instruir a busca na caixa de correio, extrair um título de mensagem e inserir esse valor dentro de uma URL de imagem. Como o link permanece em infraestrutura Microsoft confiável, a vítima interage com um recurso aparentemente legítimo e o Copilot realiza o trabalho sem entrada adicional do usuário.
A segunda falha é uma condição de corrida entre geração, renderização e sanitização. Os guardrails da Microsoft envolvem a saída do Copilot em blocos para que o navegador trate marcação como texto, mas essa neutralização ocorre após a conclusão da geração. Durante o streaming, o navegador desenha o conteúdo à medida que chega; a tag injetada dispara sua requisição antes que o sanitizador neutralize o markup. Quando a saída é finalmente limpa, a chamada de rede já foi emitida, tornando a proteção tardia para esse vetor específico.
O elo final contorna a Content Security Policy da página em m365[.]cloud.microsoft. A política impede carregamento de imagens de domínios arbitrários, porém permite *.bing[.]com. O endpoint Search by Image do Bing aceita uma URL de imagem e a busca server-side para análise. Ao apontar essa busca para um servidor do adversário com o texto roubado codificado no caminho, a requisição parte da infraestrutura do Bing e não do navegador da vítima, escapando das restrições de CSP que protegeriam um fetch direto do cliente. O Bing atua, na prática, como proxy de exfiltração, e a lista de permissões da CSP facilita o encobrimento do destino final.
Integrando os três elos: a vítima clica na URL, o Copilot consulta dados corporativos dentro do alcance do Graph do usuário logado, a resposta embute um valor sensível em uma URL de imagem do Bing, o navegador aciona o Bing durante o streaming e o Bing recupera o recurso no servidor do adversário. O adversário nunca precisa autenticar-se no tenant; herda implicitamente as permissões do usuário que acionou o fluxo. Classes antigas de falha web, como condições de corrida em sanitização e abuso de confiança em domínios allowlisted, voltam a ser exploráveis quando combinadas com injeção de instruções em interfaces de busca assistida por IA.
A superfície principal é o Copilot Enterprise Search disponível no ecossistema Microsoft 365 para usuários com acesso ao recurso. Por operar como serviço gerenciado, componentes internos de guardrail, streaming e integração com Bing não são configuráveis ou corrigíveis diretamente por administradores de tenant; a remediação depende de mudanças na plataforma, já reportadas como aplicadas no backend.
O alcance dos dados exfiltráveis espelha o que o Copilot consegue indexar e consultar em nome do usuário autenticado. Isso inclui correspondências, metadados de calendário, notas de reunião e arquivos corporativos previamente indexados em bibliotecas SharePoint ou repositórios OneDrive. Organizações com indexação ampla e permissões liberais ampliam o volume de informação exposta por um único clique bem-sucedido.
- Usuários finais com licenciamento e acesso ao Copilot Enterprise Search
- Conteúdo de e-mail, calendário e arquivos indexados acessíveis via Microsoft Graph para a conta comprometida
- Códigos MFA, OTP e links de redefinição de senha ainda válidos no momento da exfiltração
- Ambientes que confiam exclusivamente em reputação de domínio microsoft.com para bloqueio de URLs maliciosas
Como a exploração observada não foi reportada em produção, a caça deve focar em indicadores compatíveis com a prova de conceito e em desvios no uso normal do Enterprise Search. Equipes de segurança devem tratar URLs do Copilot Search com o mesmo rigor aplicado a deep links suspeitos, mesmo quando o host pertence à Microsoft.
Correlação entre atividade do Copilot e requisições subsequentes para endpoints de imagem do Bing pode revelar tentativas de replicar o padrão SearchLeak. Logs de proxy, DNS, firewall e plataformas de segurança de navegador são pontos naturais de observação, assim como telemetria de identidade para detectar reutilização rápida de códigos MFA ou redefinições de senha logo após interação com links de busca corporativa.
- URLs do Copilot Search contendo payloads codificados, marcação HTML ou instruções atípicas no parâmetro q
- Sequência de geração em streaming seguida de requisição outbound para endpoints Search by Image do Bing
- Padrões de caminho em logs do servidor adversário refletindo fragmentos de assunto de e-mail ou outros tokens textuais
- Picos de falhas de autenticação ou redefinições de senha correlacionados temporalmente com cliques em links internos do Microsoft 365
A correção reportada pela Microsoft ocorreu na infraestrutura central do serviço, o que elimina a necessidade de patch local em endpoints, mas também limita ações diretas do administrador sobre os componentes que falharam. A postura defensiva passa por visibilidade, redução de superfície indexada e resposta a sinais de abuso do parâmetro de busca.
Governança de dados deve reavaliar quais bibliotecas, sites e caixas de correio o Copilot pode indexar, porque cada permissão herdada pelo assistente amplia o impacto potencial de futuras cadeias semelhantes. Políticas de compartilhamento, grupos de segurança e escopos de aplicativo no Graph devem ser revisados com a premissa de que interfaces de IA podem transformar consultas aparentemente benignas em ações de extração automatizada.
Treinamento de usuários deve enfatizar que links internos em domínios confiáveis ainda podem carregar parâmetros manipulados, especialmente em fluxos de busca assistida. Equipes de resposta a incidentes devem documentar interações com URLs do Enterprise Search quando investigarem suspeitas de comprometimento de conta ou vazamento pontual de conteúdo corporativo.
- Validar com o fornecedor o status da mitigação de CVE-2026-42824 no tenant e monitorar advisories futuros
- Restringir indexação do Copilot a conjuntos mínimos necessários de dados corporativos
- Implementar regras de detecção para URLs do Enterprise Search com conteúdo anômalo no parâmetro q
- Correlacionar telemetria de Bing image search com sessões do Microsoft 365 Copilot em ambientes de alto risco
- Revisar permissões Graph e políticas de acesso para reduzir dados alcançáveis por um usuário comprometido via um único clique
0 Comentários