Uma vulnerabilidade crítica no Microsoft 365 Copilot tornava possível o roubo de e-mails e arquivos da caixa de correio, do SharePoint e do OneDrive de uma vítima, além de garantir acesso ao calendário com apenas um clique. A informação foi publicada hoje em uma reportagem técnica detalhando que a Microsoft corrigiu o problema em 4 de junho.
Mecanismo de funcionamento da falha
A falha, registrada sob o identificador CVE-2026-42824 (CVSS de 9.0), foi descoberta por pesquisadores da empresa de segurança Hero. Embora vulnerabilidades que permitem a exposição de informações normalmente não sejam avaliadas como críticas, este caso foi uma exceção devido ao seu desenho simples. O único requisito para o ataque era que o alvo abrisse um link de busca modificado. Em situações normais, o endereço executa uma pesquisa comum, mas, ao receber um parâmetro específico, o Copilot passava a tratar a URL como uma instrução direta.
O cenário afetava especificamente organizações que utilizam o Microsoft Copilot Enterprise Search, módulo que permite buscar dados internos da empresa em mensagens e arquivos. Por meio da URL preparada, o invasor instruía o assistente a buscar e-mails do usuário. O Copilot gerava uma resposta contendo uma etiqueta HTML de imagem carregada com os dados extraídos, enviando as informações de volta aos criminosos por meio do Bing.
Burla de defesas e recomendações
A Microsoft adota medidas para evitar que as respostas do robô contenham marcações HTML perigosas, inserindo a saída em blocos de código para que o navegador a trate apenas como texto. No entanto, os analistas descobriram uma forma de contornar essa proteção. Durante a geração da resposta, antes da conclusão do processamento, o HTML era renderizado temporariamente no modelo de objeto de documento (DOM), fazendo com que o navegador enviasse a requisição com o código malicioso.
A desenvolvedora do sistema corrigiu o problema e os usuários não precisam adotar ações adicionais. Apesar disso, os especialistas da consultoria Varonis orientam as equipes de segurança a monitorar links de busca suspeitos do Copilot, especialmente no parâmetro q, que contenham etiquetas HTML ou instruções para anexar dados a endereços de imagens. Os usuários receberam a recomendação de checar links antes de clicar neles.
