Ataque SearchLeak rouba dados via Copilot com um só link

Um novo ataque aproveitava o Copilot para roubar dados dos utilizadores quando clicassem num link malicioso.

Investigadores de segurança descobriram vulnerabilidades no Microsoft 365 Copilot Enterprise que poderia transformar a plataforma numa ferramenta de roubo de dados com apenas um clique. A falha, apelidada de SearchLeak, permitia a atacantes aceder a informação sensível armazenada no Outlook, OneDrive e SharePoint, através de um link malicioso.

O ataque combina três vulnerabilidades distintas que, quando encadeadas, permitiam forçar o Copilot a procurar dados específicos, como palavras-passe, códigos de acesso, emails, documentos ou detalhes de reuniões. A vítima apenas precisava de abrir o link, sem introduzir qualquer comando, enquanto o Copilot executava a pesquisa e processava a informação automaticamente.

Os investigadores descobriram ainda que a técnica recorria a falhas no processamento de HTML e a uma vulnerabilidade SSRF associada ao Bing para contornar mecanismos de segurança. Isto permitia que os dados extraídos fossem enviados para servidores controlados pelos atacantes sem qualquer sinal visível para o utilizador, que apenas veria o Copilot a processar o pedido normalmente.

A Microsoft corrigiu a vulnerabilidade no início deste mês e atribuiu-lhe o identificador CVE-2026-42824, classificado com gravidade crítica. Segundo os especialistas, este caso demonstra como sistemas de inteligência artificial podem amplificar drasticamente falhas de segurança já conhecidas, criando novos vectores de ataque que se tornam bastante apetecíveis para os atacantes, e de ainda maior perigo para os utilizadores e empresas.