SearchLeak: a falha no Copilot que roubava seus emails e 2FA com um clique
Um único clique em link do Microsoft.com era suficiente para o Copilot vazar seus emails, códigos 2FA e arquivos internos para atacantes.
A Varonis Threat Labs publicou em junho de 2026 o relatório SearchLeak: uma cadeia de três vulnerabilidades no Microsoft 365 Copilot Enterprise que permitia roubar emails, códigos 2FA e arquivos corporativos com um único clique num link aparentemente legítimo. Esse artigo é uma leitura do relatório, com o recorte do que isso muda na prática pra quem usa IA no ambiente corporativo.
O que é o SearchLeak?
O SearchLeak é uma vulnerabilidade crítica no Microsoft 365 Copilot Enterprise, catalogada como CVE-2026-42824 com severidade máxima pela Microsoft. A falha transformava o Copilot num canal de exfiltração de dados: bastava a vítima clicar num link com aparência normal, hospedado em microsoft.com, para o Copilot buscar os emails do usuário e enviar o conteúdo para o servidor do atacante.
O diferencial do SearchLeak: a vítima não precisava baixar nada, digitar nada nem abrir arquivo suspeito. Um clique era suficiente. Como a Varonis documentou, o atacante “herda efetivamente o acesso da vítima aos dados organizacionais, sem nunca se autenticar”.
O patch foi aplicado pela Microsoft em maio de 2026, antes da divulgação pública do relatório. Mas as implicações vão além da correção técnica.
Como funciona o ataque em três passos?
O SearchLeak combina três brechas distintas em sequência. A complexidade está em como vulnerabilidades conhecidas ganham uma dimensão nova quando há IA no meio.
Passo 1: Injeção Parameter-to-Prompt (P2P). A URL de busca do Copilot aceita um parâmetro q que deveria ser apenas uma string de pesquisa. O atacante injeta uma instrução completa nesse parâmetro: busque meus emails recebidos, extraia o título, cole dentro desta URL de imagem. O Copilot interpreta como um prompt executável, não como texto inerte.
Passo 2: Race condition na renderização HTML. A Microsoft implementou uma proteção que envolve respostas perigosas em tags de código para neutralizar HTML malicioso. O problema: essa proteção ocorre depois do streaming. O navegador já renderizou a tag de imagem injetada e já fez a requisição externa antes do sanitizador ativar. A ordem das operações era a brecha.
Passo 3: Exfiltração via proxy Bing. O Content Security Policy (CSP) bloqueia domínios não autorizados. Mas *.bing.com está na allowlist. O Bing tem um recurso de busca por imagem que faz um fetch no lado do servidor da URL fornecida. O Bing vira, involuntariamente, um proxy de exfiltração: o dado sai do Copilot, passa pelo Bing e chega ao servidor do atacante.
Quais dados ficavam expostos?
Qualquer coisa que o Copilot consegue acessar na empresa, dependendo das permissões configuradas na instalação.
A Varonis demonstrou a extração de:
- Linhas de assunto e conteúdo de emails, incluindo mensagens com códigos 2FA e links de reset de senha
- Códigos de autenticação em dois fatores de outros serviços
- Arquivos do SharePoint: relatórios financeiros, informações salariais, planos de aquisição
- Detalhes de reuniões: agendas, participantes, notas de calls
O escopo do dano dependia das permissões que o Copilot tinha na instalação. Numa empresa com acesso amplo a emails, documentos e calendários, o SearchLeak entregava o mapa completo das comunicações internas de um alvo com uma única interação.
Por que isso revela algo sobre IA corporativa em geral?
A Varonis sintetiza o ponto mais importante:
A SSRF via Bing? Conhecida há mais de uma década. O race condition? Técnica clássica. Mas a injeção P2P, transformar parâmetro de URL em instrução que exfiltra silenciosamente via IA? Essa é a peça nativa de IA.
O SearchLeak não é uma falha isolada do Copilot. É evidência de uma classe nova de risco: IA com acesso a dados cria superfícies de ataque que não existiam antes.
Quando uma ferramenta de IA lê seus emails, acessa seus arquivos e tem permissão para agir em seu nome, ela amplia o que um atacante consegue fazer se conseguir injetar instruções nela. Brechas conhecidas há anos, como SSRF, race condition e injeção de parâmetro, ganham dimensão nova quando combinadas com um motor de IA obediente.
Segundo a Cloud Security Alliance, 45% dos códigos gerados por IA falham nos testes básicos de segurança do OWASP Top 10. O padrão de descuido com segurança em IA não é exceção no setor. É o estado atual.
O que fazer depois do patch?
O CVE-2026-42824 foi corrigido pela Microsoft em maio de 2026. Mas o princípio que o SearchLeak expôs continua válido para qualquer ferramenta de IA com acesso a dados corporativos.
Audite o que cada ferramenta de IA acessa. Copilot, ChatGPT com integração de email, Gemini no Workspace: antes de liberar pra equipe, documente quais permissões cada ferramenta tem. Email? Arquivos? Calendário? Esse mapeamento precisa existir.
Aplique o princípio do menor privilégio. Se o Copilot não precisa ler o email de RH pra cumprir o uso que o time faz, retire essa permissão. A extensão do dano possível é diretamente proporcional à extensão do acesso concedido.
Monitore comportamentos anômalos. Copilot buscando emails sem ter sido solicitado é sinal de alarme. Ferramentas bem configuradas têm logs de acesso. Revise periodicamente.
O SearchLeak é um exercício pedagógico do que acontece quando IA ganha acesso a dados sem que a empresa mapeie esse acesso com cuidado. A falha técnica foi corrigida. O hábito que ela expõe ainda precisa mudar.
A Formação em IA para Negócios da ibe.IA mostra como botar IA pra rodar dentro da empresa de um jeito estruturado: quais ferramentas usar, como configurar acesso e como não delegar dados sensíveis a sistemas que você ainda não entende bem.
Conheça a Formação em IA para Negócios
E se essa leitura te ajudou a entender o que está acontecendo, segue a ibe.IA no Instagram (@ibe.ia) que toda semana sai conteúdo desse jeito.
Fonte
Varonis: SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon
Materiais Gratuitos
Crie um SaaS que paga suas contas
Aula gratuita: aprenda a criar aplicativos web e mobile com Vibe Coding e IA, sem saber programar. Nossos alunos publicam o primeiro app em menos de 7 dias.
Assistir Aula Gratuita →Fature R$12k/mês como Gestor de IA
Aula gratuita: descubra a profissão do Gestor de IA. Aprenda a criar agentes e automações com n8n e fature R$12 mil/mês trabalhando de casa, sem programar.
Assistir Aula Gratuita →3 formações em 1
Tudo que você precisa para dominar IA
Vibe Coding + Agentes IA + IA para Negócios em um único pacote.
Formação em Vibe Coding
Aprenda a criar Apps, SaaS e plataformas completas com Vibe Coding e IA.
-
Claude Code -
Cursor -
Antigravity -
Lovable -
Supabase
Formação em Agentes IA e Automações
Domine Agentes IA e Automações para atender clientes no WhatsApp, otimizar processos e eliminar trabalho repetitivo.
-
n8n -
SquadOS
Formação em IA para Negócios
Implemente IA em todos os departamentos da empresa: conteúdo, marketing, imagens, vídeos, gestão e análise de dados.
- Claude Cowork
- Claude Code
-
ChatGPT -
Magnific -
Heygen