Falha no Microsoft 365 Copilot permitia acesso indevido a e-mails e arquivos
Uma vulnerabilidade considerada crítica no Microsoft 365 Copilot poderia permitir que criminosos acessassem informações sensíveis de usuários, incluindo e-mails, arquivos armazenados no SharePoint e OneDrive, além de dados do calendário. A Microsoft informou que o problema foi corrigido em 4 de junho. Como a vulnerabilidade funcionava Identificada como CVE-2026-42824 e classificada com pontuação 9.0 na escala CVSS, a falha foi descoberta por pesquisadores da empresa de segurança cibernética Hero. O que chamou a atenção dos especialistas foi a simplicidade do ataque: bastava que a vítima acessasse um link de pesquisa especialmente manipulado. Em condições normais, esse tipo de link realiza apenas uma busca comum. Porém, ao incluir um parâmetro específico na URL, o Microsoft Copilot interpretava o endereço como uma instrução direta, permitindo que consultas fossem executadas sobre dados internos do usuário. O problema afetava empresas que utilizam o recurso Microsoft Copilot Enterprise Search, responsável por pesquisar informações corporativas em mensagens, documentos e outros conteúdos armazenados na plataforma. Com a exploração da falha, o invasor podia induzir o Copilot a localizar informações específicas e enviar os dados extraídos de forma oculta. Contornando mecanismos de proteção A Microsoft já possui mecanismos para impedir que respostas do Copilot executem códigos potencialmente perigosos, tratando conteúdos HTML apenas como texto. No entanto, os pesquisadores identificaram uma maneira de contornar essa proteção. Segundo a análise técnica, durante uma etapa intermediária do processamento da resposta, o código HTML era temporariamente interpretado pelo navegador. Esse comportamento permitia o envio não autorizado das informações coletadas para servidores controlados pelos atacantes. Correção e recomendações A vulnerabilidade já foi corrigida pela Microsoft, e a empresa informou que não é necessária nenhuma ação adicional por parte dos usuários. Mesmo assim, especialistas recomendam que equipes de segurança mantenham atenção a links suspeitos relacionados ao Copilot, especialmente aqueles que contenham parâmetros incomuns ou instruções ocultas. Também é aconselhável que usuários verifiquem cuidadosamente os links recebidos antes de acessá-los, reduzindo os riscos de ataques semelhantes no futuro. Fonte: https://www.cisoadvisor.com.br/falha-no-microsoft-365-copilot-permitia-roubo-de-e-mails/ acesso em 16/06
