A Microsoft corrigiu, na última terça-feira (16), uma falha de criticidade máxima no M365 Copilot. Pesquisadores da Varonis mostraram que o ataque SearchLeak podia retirar códigos 2FA e outros dados de emails acessíveis ao assistente.
O que muda para quem usa Copilot no trabalho
O caso importa porque o Copilot não lê apenas perguntas digitadas pelo usuário. Em ambientes corporativos, ele pode acessar emails, convites de reunião, anotações, documentos do SharePoint, arquivos do OneDrive e outros conteúdos indexados.
A falha atingia a versão Enterprise do serviço. Isso aumentava o alcance do problema, já que o assistente podia consultar dados internos de uma organização com base nas permissões da pessoa logada.
Na prática, um usuário com acesso a informação sensível bastava para abrir uma brecha. O invasor não precisava roubar a senha da vítima. Bastava fazer a vítima clicar em um link preparado.
Como o ataque usava a própria busca da Microsoft
A técnica recebeu o nome de SearchLeak. O ataque explorava um parâmetro de busca, identificado pela letra “q” em uma URL do Microsoft 365.
Esse campo normalmente carrega o termo pesquisado. Os pesquisadores mostraram que ele também podia carregar uma instrução maliciosa para o Copilot.
De acordo com o Ars Technica, o invasor enviava um email com um link para a busca do Microsoft 365. Quando a vítima clicava, o Copilot recebia uma ordem para procurar emails, extrair dados e colocar essas informações dentro de uma URL de imagem.
“A vítima não digita nada. Ela clica em um link, e o Copilot faz o resto”, escreveram os pesquisadores da Varonis.
A brecha apareceu antes da proteção entrar em ação
O Copilot tinha barreiras para reduzir esse tipo de abuso. Uma delas colocava a resposta dentro de blocos de código, para o navegador tratar o conteúdo como texto comum.
O problema estava no tempo de reação. Antes de aplicar essa proteção, o Copilot gerava parte da resposta em HTML bruto. O navegador podia renderizar uma tag durante esse intervalo.
Quando isso acontecia, o navegador fazia uma requisição para carregar a imagem. Essa requisição levava junto o dado sensível colocado no endereço.
Os pesquisadores resumiram o fluxo de forma direta. O Copilot começava a transmitir a resposta, o navegador via a imagem, disparava a requisição e só depois a proteção entrava em cena.
Por que o Bing entrou na cadeia
Outra barreira do Copilot limitava os sites que podiam receber requisições sem aprovação explícita. Sites da própria Microsoft tinham permissão mais ampla.
A cadeia usava o Bing como ponte. O pedido saía para o mecanismo de busca de imagens da Microsoft e incluía, dentro da URL, o endereço controlado pelo invasor.
Esse caminho permitia que o dado chegasse ao servidor do atacante. O conteúdo podia aparecer nos registros de acesso do servidor, como qualquer chamada comum da web.
O problema vai além desta falha
A Microsoft corrigiu as vulnerabilidades exploradas pelo SearchLeak. O episódio, porém, reforça uma dificuldade estrutural dos assistentes baseados em modelos de linguagem.
Esses sistemas ainda têm dificuldade para separar comandos legítimos do usuário de instruções escondidas em conteúdos externos. Emails, páginas e documentos podem carregar ordens que o usuário nunca escreveu.
Para empresas, a lição prática é que a IA conectada a email e arquivos internos exige controle de acesso, monitoramento e cautela com links. O ganho de produtividade existe, mas a superfície de ataque cresce junto com a integração.
