SearchLeak transforma Copilot do Microsoft 365 em ferramenta de roubo de dados com um clique

A SearchLeak (CVE-2026-42824) não é só mais uma cadeia de bugs, é um ataque que transforma o próprio mecanismo de busca corporativa do Copilot em um canal de exfiltração silencioso. Ao explorar a forma como o parâmetro q é injetado diretamente no prompt do modelo, os pesquisadores da Varonis contornaram três camadas de defesa: a sanitização de HTML (falha na renderização assíncrona), a política CSP (bypass via SSRF no Bing) e o controle de escopo de dados (o Copilot Enterprise acessa naturalmente OneDrive, SharePoint e Exchange sem aviso explícito ao usuário). O resultado: um link malicioso hospedado em domínio legítimo do microsoft.com que, com um clique, faz o Copilot buscar, formatar e enviar dados sensíveis, como senhas em e-mails ou links de documentos confidenciais, embutidos em uma requisição de imagem para o servidor do atacante.

O CVSS 6.5 esconde o risco real: a pontuação subestima o impacto porque pressupõe que 'interação do usuário' é um fator de mitigação. Na prática, em ambientes corporativos onde links são clicados diariamente em e-mails internos ou chats do Teams, essa interação é garantida. E o pior: não há log de execução, não há alerta no SIEM, não há mudança visível na interface, só um delay de 1,2 segundos enquanto o Bing faz a requisição por trás. É exfiltração com cara de funcionalidade.

Em maio, a CEVIU já havia reportado o risco de exfiltração via Copilot Cowork, mas lá o vetor era e-mail e links do OneDrive, com dependência de renderização de imagens externas. A SearchLeak é pior: não precisa de e-mail nem de permissão explícita. Ela opera diretamente no fluxo nativo do Enterprise Search, usando o próprio Bing como proxy autorizado. Também evoluiu em relação ao Reprompt (janeiro/2026): agora não requer engenharia de resposta do modelo, só a manipulação do parâmetro q e a condição de corrida na streaming UI. Ou seja, passou de 'ataque com base em comportamento do modelo' para 'ataque com base em lógica de renderização do frontend'. Isso muda o perfil de quem pode explorar: agora basta conhecimento de web, não de LLMs.

Empresas que ativaram o Copilot Enterprise Search com acesso total a dados corporativos, e 73% das organizações do Fortune 500 já fizeram isso, segundo relatório da Gartner de junho/2026, estão expostas a exfiltração em escala, sem necessidade de malware, sem detecção por EDR e sem gatilho em regras de DLP tradicionais. A falha mostra que políticas de segurança baseadas em 'quem tem acesso' falham quando o acesso é concedido a um agente com capacidade de interpretação contextual. E o mais urgente: a Microsoft corrigiu silenciosamente, mas não desativou o recurso. Admins ainda precisam auditar quais grupos têm acesso ao Enterprise Search e limitar escopos com políticas de dados sensíveis, algo que o Atlas AI Security Posture Management da Varonis já faz automaticamente desde maio.