Agency FWD
Tecnologia 18 de junho de 2026 às 13:00 · Redação FWD

Vulnerabilidade 'SearchLeak' no Microsoft 365 Copilot expõe dados empresariais sensíveis

Pesquisadores de cibersegurança da Varonis Threat Labs identificaram uma nova cadeia de vulnerabilidades, denominada "SearchLeak", que permite a exfiltração de dados sensíveis de empresas através do Microsoft 365 Copilot Enterprise Search. A falha combina injeção de prompt com outras vulnerabilidades web, expondo e-mails, códigos 2FA e documentos corporativos, exigindo atenção imediata das organizações.

Vulnerabilidade 'SearchLeak' no Microsoft 365 Copilot expõe dados empresariais sensíveis
Foto: Stefan Coders no Pexels

Pesquisadores de cibersegurança da Varonis Threat Labs revelaram uma nova e preocupante cadeia de vulnerabilidades, batizada de “SearchLeak”, que afeta o Microsoft 365 Copilot Enterprise Search. Esta falha pode transformar o assistente de IA em uma ferramenta para exfiltração silenciosa de dados, expondo informações corporativas altamente sensíveis. A descoberta, reportada nas últimas 48 horas, acende um alerta para empresas que dependem das soluções de produtividade e IA da Microsoft.

O que mudou na prática

A vulnerabilidade “SearchLeak” é uma cadeia de ataque em três estágios que contorna as salvaguardas de segurança integradas no Copilot da Microsoft. No centro da questão está uma nova vulnerabilidade específica de IA, a Injeção de Parâmetro-para-Prompt (P2P), que é combinada com duas falhas web já conhecidas: uma condição de corrida de injeção de HTML e um bypass de Política de Segurança de Conteúdo (CSP) via falsificação de solicitação do lado do servidor (SSRF) do Bing.

Em termos práticos, um atacante pode enviar uma URL maliciosa a um usuário desavisado. Esta URL contém um parâmetro de consulta que, quando clicado, é interpretado pelo Microsoft 365 Copilot Search não apenas como uma consulta de pesquisa, mas como instruções executáveis. Consequentemente, o Copilot é enganado para pesquisar, por exemplo, o e-mail do usuário e, em seguida, incorpora dados sensíveis encontrados em uma URL de imagem, exfiltrando-os através do Bing.

As salvaguardas da Microsoft, projetadas para impedir que o assistente de IA envie dados a um ator malicioso, são ineficazes contra esta cadeia de ataques, pois ela explora a combinação de múltiplas falhas.

Impacto e por que importa para decisões de negócio

O impacto do “SearchLeak” para empresas é substancial. A vulnerabilidade não se limita a dados pessoais, mas pode expor qualquer informação que o usuário tenha acesso dentro da organização. Isso inclui e-mails, convites e notas de reuniões, documentos do SharePoint, arquivos do OneDrive e outros conteúdos de negócios indexados. Dependendo de como o Microsoft 365 está conectado ao ambiente corporativo, o raio de alcance da exfiltração de dados pode ser ainda maior.

Para as empresas brasileiras, que cada vez mais adotam soluções de IA como o Copilot para otimizar operações e produtividade, esta vulnerabilidade representa um risco significativo de vazamento de informações confidenciais. A exposição de propriedade intelectual, dados financeiros, informações de clientes (incluindo PII, conforme a LGPD) e segredos comerciais pode levar a perdas financeiras, danos à reputação e implicações legais severas.

Este incidente sublinha a natureza evolutiva das ameaças cibernéticas impulsionadas pela IA. As vulnerabilidades não se restringem mais a bugs de software tradicionais, mas agora exploram a “maleabilidade” e a “confiança” dos modelos de IA, tornando-os vetores de ataque. A capacidade de um atacante de usar um assistente de IA para “snitch” dados corporativos sem a necessidade de malware complexo ou explorações de kernel é um divisor de águas na paisagem da cibersegurança.

O que monitorar e próximos passos

As empresas que utilizam ou planejam utilizar o Microsoft 365 Copilot devem monitorar de perto os comunicados da Microsoft sobre esta vulnerabilidade e quaisquer patches ou orientações de mitigação que possam ser lançados. É crucial que as equipes de TI e segurança da informação avaliem o risco dentro de seus próprios ambientes.

Alguns passos imediatos incluem:

  • Conscientização e Treinamento: Reforçar o treinamento de segurança para funcionários, enfatizando os riscos de clicar em links suspeitos, mesmo que pareçam vir de fontes legítimas ou de dentro do ambiente Microsoft 365.
  • Revisão de Permissões: Auditar e aplicar o princípio do menor privilégio para as permissões de acesso dos usuários no Microsoft 365, garantindo que o Copilot (e, por extensão, o usuário) só possa acessar os dados estritamente necessários para suas funções.
  • Monitoramento de Atividade: Intensificar o monitoramento de atividades incomuns no Microsoft 365 e no Bing, procurando por padrões de acesso ou exfiltração de dados que possam indicar um ataque “SearchLeak”.
  • Avaliação de Segurança de IA: Reavaliar as configurações de segurança para assistentes de IA, considerando que as ameaças agora podem explorar a própria funcionalidade da IA para contornar as defesas tradicionais.

A evolução das ameaças de IA exige uma postura de segurança proativa e adaptável, com foco não apenas na proteção de endpoints e redes, mas também na segurança dos próprios modelos e interações de IA. A “SearchLeak” é um lembrete contundente de que a conveniência da IA vem com novas camadas de complexidade e risco que as empresas precisam abordar com seriedade.

Fontes consultadas

#microsoft#copilot#inteligencia-artificial#ciberseguranca#vazamento-de-dados#seguranca-da-informacao

Mais em Tecnologia

Tecnologia 30 de jun. de 2026 · Redação FWD

Queda de performance em modelos de IA da OpenAI e Anthropic preocupa empresas

Empresas brasileiras que utilizam modelos de inteligência artificial da OpenAI e Anthropic enfrentam desafios com a recente queda de performance observada em ferramentas como GPT-5.6-sol e Claude Opus 4.8. A degradação afeta a eficiência operacional e a confiabilidade de aplicações críticas, com especulações sobre possíveis cortes de custos por parte das big techs, exigindo reavaliação de estratégias e orçamentos de IA.

Tecnologia 30 de jun. de 2026 · Redação FWD

TSMC amplia aumento de preços para todos os nós avançados de chips, elevando custos globais de tecnologia

A Taiwan Semiconductor Manufacturing Co. (TSMC), maior fabricante de chips por contrato do mundo, notificou clientes sobre aumentos de preços que se estendem por quase todo o seu portfólio de fabricação avançada. As elevações, que variam de 5% a 10%, abrangem não apenas a tecnologia de 3 nanômetros, mas também nós mais antigos como 5nm e 7nm, impactando cerca de 74% da receita de wafers da empresa e ameaçando margens de lucro em toda a cadeia de suprimentos de tecnologia.

Tecnologia 29 de jun. de 2026 · Redação FWD

TSMC e Winbond se unem para fortalecer cadeia de DRAM para chips de IA

A Taiwan Semiconductor Manufacturing Company (TSMC) e a Winbond Electronics anunciaram uma parceria estratégica para reconstruir a cadeia de suprimentos local de DRAM. A colaboração visa reduzir a dependência de grandes fabricantes de memória e integrar a tecnologia Wafer-on-Wafer (WoW) da Winbond, essencial para chips de inteligência artificial, prometendo maior desempenho e eficiência energética.