Pesquisadores da Varonis Threat Labs descobriram uma vulnerabilidade crítica no Microsoft 365 Copilot que permite a exfiltração de dados com um único clique. Batizada de SearchLeak, a falha resulta da combinação de três bugs, sendo um deles uma injeção de comandos que pode expor informações sensíveis, como e-mails e detalhes de calendário. O ataque é facilitado por um link aparentemente confiável que, ao ser clicado, permite que o Copilot busque dados do usuário sem que ele precise inserir qualquer informação ou senha. O processo envolve a injeção de um código em um parâmetro da URL, que é interpretado pelo Copilot, e a utilização de um endpoint do Bing para contornar as políticas de segurança de conteúdo. A Microsoft já mitigou a falha em seu backend, mas a vulnerabilidade destaca a necessidade de monitoramento e governança de dados mais rigorosos. A CVE-2026-42824 foi atribuída a essa vulnerabilidade, que, embora não tenha sido explorada ativamente, representa um risco significativo para a segurança das informações corporativas.
Fonte: https://thehackernews.com/2026/06/one-click-microsoft-365-copilot-flaw.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
15/06/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade no Microsoft 365 permite exfiltração de dados com um clique
RESUMO EXECUTIVO
A vulnerabilidade no Microsoft 365 Copilot permite que atacantes acessem dados sensíveis de usuários sem autenticação, representando um risco significativo para a segurança das informações corporativas. A mitigação já foi implementada, mas a necessidade de monitoramento contínuo e governança de dados é crucial.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a fraudes e compromissos de dados.
Operacional
Possibilidade de acesso a e-mails, códigos de autenticação e arquivos sensíveis.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']
📊 INDICADORES CHAVE
CVE-2026-42824 atribuída à vulnerabilidade.
Indicador
CVSS de 6.5 pela Microsoft e 7.5 pelo National Vulnerability Database.
Contexto BR
Acesso a dados sensíveis como códigos de autenticação e informações de calendário.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar URLs de busca do Copilot para parâmetros suspeitos.
2
Implementar políticas de governança de dados mais rigorosas.
3
Monitorar solicitações de saída incomuns para endpoints de imagem do Bing.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis e a possibilidade de exfiltração sem a necessidade de credenciais, o que pode levar a compromissos de contas.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
