SearchLeak: Pesquisadores expõem falha crítica no M365 Copilot que permitia exfiltração de dados via URL maliciosa

A SearchLeak não é um caso isolado: é o terceiro ataque de exfiltração via um clique no Copilot em menos de seis meses. Diferente do ChatGPhish (junho de 2026) ou do Copilot Cowork leak (maio de 2026), que dependiam de renderização de conteúdo externo ou de e-mails não aprovados, a SearchLeak explora diretamente o núcleo da busca empresarial, o parâmetro 'q', transformando-o em um canal de execução. A injeção P2P nesse campo, combinada com uma race condition na sanitização de HTML e um SSRF disfarçado como requisição ao Bing, cria um túnel cego: dados do Graph são empacotados na URL de uma tag , enviados para o Bing (domínio confiável), e redirecionados para um servidor do atacante. CSP e anti-phishing falham porque tudo acontece dentro do domínio microsoft.com.

O risco real está na escala de exposição: qualquer dado indexado pelo Copilot Enterprise Search, e-mails com tokens MFA, links de redefinição, anotações de reunião, arquivos do SharePoint, vira alvo com um único clique. Não há necessidade de engenharia social avançada nem de interação com anexos. Basta um link que parece legítimo. E isso se soma ao fato de que 99% das organizações têm dados sensíveis expostos ao Copilot, segundo relatório da Varonis de 2025.

Em maio, o Copilot Cowork permitia exfiltração via e-mails que carregavam imagens externas, um vetor mais lento e visível. Agora, a SearchLeak elimina a etapa intermediária: o dado sai direto do Graph para o servidor do atacante via Bing, sem sair do domínio microsoft.com. Também evoluiu em relação ao EchoLeak (2025): não é zero-click, mas é *um-clique-silencioso*, sem pop-ups, sem erros, sem logs óbvios no cliente. A Microsoft corrigiu o SSRF e a race condition no lado do servidor em junho, mas não alterou o modelo de indexação: o Copilot ainda acessa todo o Graph com base nas permissões do usuário, amplificando o impacto de cada nova falha.

Empresas não podem depender só de atualizações de fornecedor. A SearchLeak mostra que o problema não é só o código, é a arquitetura: ferramentas de IA corporativas estão sendo projetadas para acessar dados em escala, mas sem camadas equivalentes de controle de saída. Um único parâmetro mal validado ('q') vira porta de saída. Isso exige mudança de postura: governança de dados precisa antecipar vazamentos, não só prevenir acesso não autorizado. Monitorar consultas de busca com payloads codificados, restringir escopo de indexação do Copilot e auditar quais dados do Graph são realmente necessários para IA são medidas técnicas imediatas, não opcionais.