Uma única clique num link com aparência legítima poderia ser suficiente para que um atacante acedesse ao email, calendário, ficheiros do SharePoint e do OneDrive — e até a códigos MFA temporários ainda válidos — de um utilizador do Microsoft 365 Copilot Enterprise. A descoberta, batizada de SearchLeak, é da equipa Varonis Threat Labs e foi divulgada publicamente a 15 de junho de 2026. A Microsoft já corrigiu a vulnerabilidade no seu backend; os clientes não precisam de tomar qualquer ação.
O que é o SearchLeak e porque é relevante
O SearchLeak não é uma vulnerabilidade única — é uma cadeia de três falhas que, individualmente, teriam impacto limitado, mas que encadeadas criam um vetor de ataque de um clique com capacidade de exfiltração silenciosa de dados sensíveis. A Microsoft classificou-o como crítico (CVE-2026-42824), com CVSS 6.5 segundo o seu próprio advisory e 7.5 segundo o National Vulnerability Database.
O que torna o SearchLeak particularmente preocupante não é apenas o que faz, mas o que parece: o link malicioso aponta para um domínio legítimo da microsoft.com. Os sistemas de filtragem de URL e as ferramentas anti-phishing tradicionais não o sinalizam como suspeito, porque tecnicamente não o é — é uma URL real da Microsoft que foi armada com instruções ocultas.
As três falhas encadeadas
O investigador Dolev Taler, da Varonis, detalhou a cadeia de exploração em três fases:
- Fase 1 — Injeção Parameter-to-Prompt (P2P): O Microsoft 365 Copilot Enterprise Search aceita um parâmetro
qna URL, destinado a consultas em linguagem natural. A falha é que o valor desse parâmetro é interpretado pelo motor de IA do Copilot não apenas como um texto de pesquisa, mas como uma instrução executável. Um atacante constrói uma URL que ordena ao Copilot para pesquisar a caixa de email da vítima e incorporar os dados extraídos num URL de imagem; - Fase 2 — Race condition na renderização HTML: Uma tag
<img>inserida na resposta do Copilot dispara antes de o sanitizador de output processar o conteúdo, permitindo que a imagem seja carregada a partir de um URL controlado pelo atacante antes de qualquer verificação de segurança; - Fase 3 — SSRF via Bing e bypass de CSP: O endpoint de pesquisa de imagens do Bing está incluído na Content Security Policy (CSP) da página como domínio de confiança. O Bing processa um pedido do lado do servidor para o URL do atacante — transportando os dados exfiltrados para fora da infraestrutura da Microsoft sem violar a CSP, precisamente porque o pedido parte da própria infraestrutura da Microsoft.
O resultado prático: a vítima clica numa ligação, o Copilot pesquisa silenciosamente a sua caixa de correio e envia os resultados para o atacante, sem que qualquer prompt ou aviso seja apresentado.
O que podia ser roubado
O Copilot Enterprise tem acesso, através do Microsoft Graph, a tudo o que o utilizador autenticado pode ver. A cadeia SearchLeak herdava esse alcance. Os dados potencialmente exfiltráveis incluíam:
- Conteúdo de emails — incluindo códigos MFA de uso único, ligações de reset de password e tokens de autenticação, frequentemente com janela de validade de apenas alguns minutos mas suficientes para um script automatizado;
- Calendários — convites, notas de reuniões, detalhes de participantes;
- Ficheiros do SharePoint e OneDrive indexados pelo Copilot — onde habitualmente residem dados salariais, documentos financeiros, planos de aquisição e propriedade intelectual.
Correção e estado atual
A Microsoft corrigiu o SearchLeak no seu backend no início de junho de 2026, antes da divulgação pública pela Varonis a 15 de junho. Não é necessária nenhuma ação por parte dos clientes — a remediação foi feita do lado da infraestrutura da Microsoft, sem necessidade de atualização do lado do utilizador. Não há evidências de exploração ativa desta vulnerabilidade no mundo real; a Varonis apresentou apenas uma prova de conceito.
O investigador Dolev Taler já tinha demonstrado a mesma técnica de um clique num ataque anterior — designado Reprompt — contra o Copilot pessoal. O SearchLeak demonstra que a mesma classe de ataque funciona mesmo contra a versão Enterprise, apesar das salvaguardas adicionais.
Porque é que isto importa
O SearchLeak ilustra um risco emergente e mal compreendido: os assistentes de IA empresariais como o Copilot amplificam as permissões de acesso existentes. Numa organização onde um utilizador tem acesso a documentos sensíveis, a um Copilot com grande capacidade de indexação e a uma caixa de email com códigos de autenticação, basta uma identidade comprometida — ou um único clique num link errado — para que um atacante herde todo esse alcance.
Para as organizações portuguesas que adotaram ou estão a adotar o Microsoft 365 Copilot Enterprise, este caso levanta questões práticas que vão além desta vulnerabilidade específica:
- Princípio do menor privilégio: o Copilot acede ao que o utilizador pode aceder. Identidades com permissões excessivas representam um risco amplificado em contextos de IA;
- Injeção de prompt como nova classe de ataque: à medida que os sistemas de IA são integrados nos fluxos de trabalho empresariais, a manipulação das suas instruções via inputs não validados torna-se um vetor de ataque relevante — independentemente do fornecedor;
- Limites das ferramentas tradicionais: um link para
microsoft.comnão é sinalizado por filtros de URL. A formação dos utilizadores deve incluir a consciência de que URLs aparentemente legítimos podem ser armados.
No contexto do Decreto-Lei n.º 125/2025 (transposição da NIS2 em Portugal), as organizações abrangidas têm a obrigação de avaliar o risco associado às ferramentas que adotam — incluindo ferramentas de IA generativa com acesso a dados organizacionais sensíveis.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Varonis Threat Labs, pelo Bleeping Computer, pelo The Hacker News, pelo SC Media e pelo Microsoft Security Response Center (MSRC) em junho de 2026.