O SearchLeak (CVE-2026-42824) é uma vulnerabilidade crítica no Microsoft 365 Copilot Enterprise que permitia a um atacante roubar e-mails, códigos 2FA e documentos corporativos com um único clique em um link. Descoberta pela Varonis e corrigida pela Microsoft em junho de 2026, a falha evidencia que assistentes de IA com acesso amplo aos dados das empresas são vetores de exfiltração ainda sem defesa real.
Um clique e seus dados sumiram
Pesquisadores da Varonis descobriram uma vulnerabilidade crítica no Microsoft 365 Copilot Enterprise, batizada de SearchLeak (CVE-2026-42824), que permitia roubar e-mails, códigos 2FA, arquivos do OneDrive e documentos do SharePoint com um único clique em um link. A falha já foi corrigida pela Microsoft, mas expõe um problema estrutural na segurança de assistentes de IA corporativos: a incapacidade do modelo distinguir entre instruções legítimas e comandos maliciosos embutidos em conteúdo.
A Microsoft classificou a vulnerabilidade como gravidade máxima e aplicou correção no servidor no início de junho, antes da divulgação pública em 15 de junho de 2026. O patch é automático — nenhum administrador precisa agir.
A cadeia de três falhas
O SearchLeak não é uma única falha, e sim uma cadeia de três vulnerabilidades encadeadas que, juntas, transformam o Copilot Enterprise Search em um canal silencioso de exfiltração de dados.
| Elo | Tipo | O que faz |
|---|---|---|
| 1 | Prompt Injection (P2P) | Injeta instrução via parâmetro “q” da URL de busca |
| 2 | Race Condition HTML | Tag <img> dispara antes da sanitização renderizar |
| 3 | Bypass de CSP via Bing | Bing faz SSRF para domínio do atacante |
Primeiro elo — Parameter-to-Prompt Injection (P2P): o parâmetro de busca “q” na URL de pesquisa do Copilot Enterprise é passado diretamente ao modelo como um prompt executável. Um atacante constrói um link com instruções embutidas nesse parâmetro. Quando a vítima clica, o Copilot processa a instrução como uma consulta legítima.
Segundo elo — Race condition de renderização HTML: quando o Copilot retorna resultados, o HTML bruto — incluindo tags como <img> — renderiza momentaneamente no navegador antes que o mecanismo de sanitização entre em ação. Nessa janela, o navegador já disparou a requisição HTTP com os dados roubados no URL da imagem. A defesa chega tarde demais.
Terceiro elo — Bypass de CSP via Bing SSRF: a Content Security Policy da Microsoft permite requisições para domínios do Bing. A exploração usa o endpoint “Search by Image” do Bing como trampolim: o Copilot gera uma tag <img> cuja URL aponta para o Bing, e o Bing faz uma requisição server-side para o domínio controlado pelo atacante, carregando os dados roubados.
Um clique, zero interação da vítima
O que torna o SearchLeak particularmente perigoso é a ausência de interação. A vítima não digita nada, não baixa nada e não autoriza nada. O único passo necessário é clicar em um link — algo que acontece dezenas de vezes por dia em qualquer ambiente corporativo.
Uma vez clicado, o Copilot executa automaticamente a busca nos e-mails do usuário, extrai o conteúdo (incluindo códigos de autenticação em dois fatores, senhas trocadas por e-mail e comunicações confidenciais) e embute esses dados em requisições de imagem que saem pelo Bing para o servidor do atacante.
O alcance vai além da caixa de entrada. Como o Copilot Enterprise indexa o ambiente inteiro do M365, a exploração pode atingir eventos do calendário, anotações de reuniões, documentos do SharePoint e arquivos do OneDrive — tudo o que o usuário tem permissão de acessar dentro da organização.
Classe de ataque sem cura
A causa raiz do SearchLeak não é um bug isolado — é um problema fundamental na arquitetura de assistentes de IA. Modelos de linguagem não conseguem estabelecer uma fronteira confiável entre instruções legítimas do usuário e comandos maliciosos embutidos em conteúdo de terceiros que o modelo está processando.
Microsoft, Google, Anthropic e outros provedores de LLM enfrentam o mesmo dilema. A solução tem sido construir barreiras ad hoc — sanitização de saída, restrição de domínios, blocos de código — que os pesquisadores demonstram ser contornáveis repetidamente. Cada nova barreira cria novas superfícies de ataque.
O Ars Technica, que cobriu a descoberta em detalhes, resumiu o problema: a indústria da IA tenta consertar as consequências de uma credulidade incurável dos modelos com patches incrementais, sem resolver a causa subjacente.
Patch aplicado, risco persiste
A Microsoft corrigiu o CVE-2026-42824 no lado do servidor antes da divulgação pública. Organizações que usam o Copilot Enterprise não precisam instalar nada nem alterar configurações. O patch fechou o caminho de exploração do SearchLeak automaticamente.
O que não mudou: o princípio de que assistentes de IA com acesso amplo aos dados corporativos são vetores de exfiltração. O SearchLeak é o segundo ataque dessa categoria revelado pela Varonis — o primeiro foi o Reprompt, que demonstrou um problema semelhante no Copilot consumidor.
Para equipes de segurança que tinham o Copilot Enterprise Search ativo antes do patch de junho, recomenda-se auditar logs de requisições de saída com tráfego anômalo para endpoints de busca de imagens do Bing. Requisições de imagem sem explicação aparente associadas a contas de usuário nesse período merecem investigação.
O impacto para empresas brasileiras
O Microsoft 365 tem adoção massiva no Brasil, tanto em empresas médias quanto em grandes corporações. Com a expansão do Copilot Enterprise no mercado brasileiro em 2025 e 2026, dezenas de milhares de organizações passaram a ter um assistente de IA indexando e-mails, documentos e calendários de seus funcionários.
Embora o patch já esteja aplicado, o caso levanta questões que vão além dessa vulnerabilidade específica: as empresas brasileiras estão avaliando o risco de dar a um modelo de IA acesso irrestrito ao repositório de dados corporativo? Quais controles existem além dos que a Microsoft implementa no lado do servidor?
Historicamente, falhas de prompt injection em IA corporativa são difíceis de detectar em logs porque o tráfego aparenta ser uso legítimo — consultas em linguagem natural, respostas formatadas em HTML. A exfiltração acontece dentro de um fluxo que parece normal para os sistemas de monitoramento.
Referências
- Ars Technica — Critical Copilot vulnerability allowed hackers to steal 2FA code from users (Dan Goodin, 16/06/2026)
- Varonis Threat Labs — SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon (Dolev Taler, 15/06/2026)
- Daily Security Review — CVE-2026-42824: M365 Copilot SearchLeak Enables 1-Click Email Theft (Gabby Lee, 15/06/2026)
- Dark Reading — Copilot ‘SearchLeak’ Attack Allows 1-Click Data Theft (15/06/2026)
- CyberSecurityNews — Critical Microsoft 365 Copilot Vulnerability Allows Attackers to Steal Data with One Click (15/06/2026)