Um único clique em um link confiável da Microsoft poderia ter permitido que um invasor extraísse e-mails, detalhes de calendário e arquivos indexados do Microsoft 365 Copilot Enterprise Search.
Pesquisadores do Varonis Threat Labs encadearam três falhas em um caminho de exfiltração de um clique que chamam de SearchLeak. Como o link apontava para um domínio real da microsoft.com, ferramentas tradicionais anti-phishing e filtragem de URL provavelmente não o sinalizariam.
Sem prompt, sem senha, sem segundo clique. A Microsoft atribuiu o CVE-2026-42824 e o marcou como crítico; as pontuações do CVSS (Common Vulnerability Scoring System - Sistema de Pontuação de Vulnerabilidades Comuns) ficaram mais baixas e discordaram, 6.5 da Microsoft e 7.5 do National Vulnerability Database (Banco Nacional de Dados de Vulnerabilidades). A empresa mitigou a falha em seu backend, então os clientes não têm com que se preocupar, e a Varonis apresentou uma prova de conceito, sem exploração observada.
Três falhas, um clique
O comunicado da Microsoft descreve a falha como uma injeção de comando que pode expor informações através de uma rede. Na prática, o SearchLeak empilha uma weakness específica de IA sobre duas falhas antigas da web, e cada link é necessário para o próximo.
O ponto de entrada é o parâmetro q na URL do Copilot Enterprise Search. Ele é destinado a uma consulta em linguagem natural, mas o Copilot lê qualquer coisa que esteja ali como instruções, não apenas uma string de busca.
Varonis chama isso de Parameter-to-Prompt injection (Injeção de Parâmetro para Prompt). Um invasor escreve uma URL que instrui o Copilot a buscar na caixa de correio, pegar um título de e-mail e colocá-lo dentro de uma URL de imagem. A vítima não digita nada. Ela clica, e o Copilot faz o trabalho.
A seguir está uma race condition (condição de corrida) na forma como a resposta é renderizada. O guardrail da Microsoft envolve a saída do Copilot em blocos <code> para que o navegador trate a marcação como texto. O problema é o tempo: o envolvimento ocorre depois que o Copilot termina de gerar, mas o navegador renderiza o fluxo conforme chega. A tag <img> injetada é desenhada e dispara sua requisição antes que o sanitizador execute. Quando a saída é neutralizada, a requisição já saiu.
O último elo passa os dados pela Política de Segurança de Conteúdo (CSP - Content Security Policy) da página. O CSP em m365.cloud.microsoft bloqueia imagens de domínios arbitrários, mas permite *.bing.com. O endpoint de "Busca por Imagem" do Bing aceita uma URL de imagem e a busca do lado do servidor para analisá-la. Aponte essa busca para o servidor de um invasor com o texto roubado codificado no caminho, e o Bing o recupera. A CSP do navegador nunca se aplica, porque a requisição vem da infraestrutura do Bing. O Bing se torna o proxy de exfiltração. A lista de允许 do CSP faz o trabalho de ocultação.
Juntando: a vítima clica, o Copilot busca em seus dados, a resposta嵌入式 um valor como um assunto de e-mail em uma URL de imagem do Bing, o navegador chama o Bing durante o streaming, e o Bing puxa a URL do invasor. O invasor lê em seus próprios logs, por exemplo, uma requisição para /Your_Security_Code_847291/img.png.
O que um invasor consegue
O Copilot Enterprise pode acessar tudo o que o usuário conectado pode, através de seu acesso ao Microsoft Graph, e o invasor herda esse alcance sem nunca fazer login.
O prêmio mais sensível ao tempo está na caixa de entrada: códigos de uso único, códigos MFA (Multi-Factor Authentication - Autenticação Multifator) e links de redefinição de senha, frequentemente ainda válidos por alguns minutos. Um script que extrai esses códigos de um log enquanto a janela está aberta pode assumir uma conta antes que alguém perceba.
O mesmo acesso também alcança convites de calendário, notas de reuniões e qualquer arquivo do SharePoint ou OneDrive que o Copilot indexou, onde vivem os dados salariais, números de ganhos e planos de aquisição.
SearchLeak é a segunda vez que a Varonis demonstra esse padrão. O pesquisador da Varonis Dolev Taler demonstrou a mesma técnica de um clique em um ataque Reprompt anterior contra o Copilot Personal, e ela se manteve contra o Enterprise Search apesar das proteções extras que esse nível deveria impor.
O mesmo padrão apareceu no EchoLeak (CVE-2025-32711), a falha de vazamento de dados do Copilot de zero-clique que a Aim Security revelou em 2025. SSRF (Server-Side Request Forgery - Falsificação de Solicitação do Lado do Servidor) e condições de corrida em sanitizadores são classes antigas de falhas; a injeção de prompt é a parte nova, e ela as torna alcançáveis novamente.
A Microsoft mitigou a falha em seu backend, e como o Copilot Enterprise é um serviço gerenciado, os administradores de tenants não podem corrigir ou reconfigurar as partes que falharam. O que eles podem fazer é monitorar e conter.
Fique atento a URLs do Copilot Search carregando payloads codificados ou HTML no parâmetro q, e a requisições de saída incomuns para endpoints de imagem do Bing. Restrinja a governança de acesso a dados para que o Copilot indexe menos, o que reduz o que qualquer vazamento futuro pode alcançar.
